एक सार्वजनिक आईपी पते के लिए एसएसएल प्रमाणपत्र?

मैंने सिर्फ एक कॉमोडो पॉजिटिव एसएसएल खरीदने की कोशिश की, लेकिन इसे सार्वजनिक आईपी पते का समर्थन नहीं करने के कारण खारिज कर दिया गया, लेकिन इसके बजाय वे केवल एक डोमेन नाम का समर्थन करते हैं।

क्या कोई भी एसएसएल प्रमाणपत्र प्रदाता जानता है जो डोमेन नाम के बजाय सार्वजनिक आईपी पते का समर्थन करता है?

मेरी कंपनी के पास वेब होस्टिंग कंपनी के साथ होस्ट किया गया एक समर्पित सर्वर है, जिसका उपयोग कई प्रोजेक्ट्स (कई क्लाइंट्स के लिए) के लिए बगट्रैक चलाने के लिए किया जाता है। चूंकि इसका उपयोग केवल बगट्रैक के लिए किया जाता है, इसलिए हमें एक डोमेन नाम की आवश्यकता नहीं है (हमारे क्लाइंट अपने ब्राउज़र में सार्वजनिक आईपी टाइप करके इसे एक्सेस करते हैं)।

मुझे लगता है कि आप ऐसा कर सकते हैं, लेकिन जिस तरह से आप इसे करने की कोशिश कर रहे हैं वैसा नहीं है।

एक एसएसएल प्रमाणपत्र एक सार्वजनिक एन्क्रिप्शन कुंजी है जो एक्स 500 संरचना में एक सीएन, या सामान्य नाम, तत्व शामिल है; एक हस्ताक्षरित प्रमाण पत्र एक ऐसा है जहां बाध्यकारी को मौखिक रूप से तीसरे पक्ष के प्रमाणीकरण प्राधिकारी द्वारा प्रमाणित किया जाता है, जो पहले से ज्ञात उपयोगकर्ताओं के लिए एक सार्वजनिक कुंजी का उपयोग कर रहा है (जो आपके ब्राउज़र के अंदर रहने वाले प्रमाणन प्राधिकरण (CA) प्रमाणपत्रों का ढेर है)।

जब आप एक ब्राउज़र के साथ एसएसएल-सुरक्षित वेब साइट पर जाते हैं, तो हस्ताक्षरित सीएन को ब्राउज़र के लिए जाना जाता है। ब्राउज़र इसके साथ क्या करना चाहता है, यह ब्राउज़र पर निर्भर है। जिन ब्राउज़रों के बारे में मैं जानता हूँ कि वे होस्ट नाम से तुलना करने के लिए अनुरोध करते हैं, और त्रुटि यदि यह अलग है (या यदि प्रमाणित बंधन विश्लेषण के लिए खड़ा नहीं है, तो हस्ताक्षरित प्रमाणपत्र ब्राउज़र को नहीं पता है या बाध्यकारी नहीं है- की तारीख, लेकिन यह एक अलग मुद्दा है)। ऐसा कुछ भी नहीं है जो सिद्धांत रूप में आपको सार्वजनिक रूप से हस्ताक्षरित प्रमाणपत्र प्राप्त करने से रोकता है जहां CN एक IP पता है, न कि FQDN (पूरी तरह से योग्य डोमेन नाम) [1], लेकिन यह जादुई रूप से ब्राउज़र की तुलना IP के साथ CN से नहीं करेगा अनुरोधित होस्टनाम के बजाय पता ।

मुझे संदेह है कि आपकी समस्या को हल करने का सबसे सरल तरीका है अपना सीए शुरू करना, जो करना आसान है, और इसके बारे में कई सार्वजनिक ट्यूटोरियल हैं; एक यहाँ है । एक बार जब आपके अंतिम उपयोगकर्ता आपके CA को अपने ब्राउज़र में आयात करते हैं, तो आपके द्वारा टकसाल के सभी प्रमाणपत्र आधिकारिक रूप से स्वीकार किए जाएंगे।

फिर आपको एक दूसरी समस्या हो सकती है कि आप एक ही IP पते पर बहुत सारी NameVirtualHost साइटें चलाना चाहते हैं। यह ऐतिहासिक रूप से अयोग्य है, क्योंकि (टीएलएस के विपरीत) एसएसएल वार्ता एक कनेक्शन पर कुछ और होने से पहले होती है; अर्थात्, आपके प्रमाणपत्र में एम्बेडेड CN को ग्राहक के समक्ष यह ज्ञात और उपयोग किया जाता है कि ग्राहक यह कहने में सक्षम है कि वे किस मेजबान से जुड़ने का प्रयास कर रहे हैं।

हाल ही में, SNI (सर्वर नेम इंडिकेशन) नामक एक प्रोटोकॉल एक्सटेंशन शुरू किया गया है, जो क्लाइंट और सर्वर को यह इंगित करने की अनुमति देता है कि वे एसएसटी सर्टिफिकेट प्रस्तुत करने से पहले कुछ होस्ट नाम सामान करना चाहते हैं, जिससे सेट के सही एक की अनुमति मिलती है। सर्वर द्वारा दिए जाने वाले प्रमाण पत्र। जाहिरा तौर पर इसके लिए Apache 2.2.10 की आवश्यकता होती है, ओपनएसएसएल का पर्याप्त हालिया संस्करण और ( महत्वपूर्ण रूप से ) क्लाइंट-साइड समर्थन।

इसलिए यदि मुझे वह करना है जो आप करने की कोशिश कर रहे हैं, तो मैं अपने स्वयं के सीए प्रमाण पत्र को देख रहा हूं, अपने अंतिम उपयोगकर्ताओं को बता रहा हूं कि उन्हें उन ब्राउज़रों का उपयोग करना है जो एसएनआई का समर्थन करते हैं और मेरे सीए रूट प्रमाण पत्र का आयात करते हैं, और काटते हैं। प्रत्येक बगट्रैक साइट के लिए मेरे अपने एसएसएल प्रमाणपत्रों पर हस्ताक्षर करना।

[१] ठीक है, आपको ऐसा कोई भी नहीं मिला होगा जो इसे करेगा, लेकिन यह एक कार्यान्वयन विवरण है। जो मैं यहाँ दिखाने की कोशिश कर रहा हूँ वह यह है कि अगर आपने किया भी, तो यह आपकी समस्या का समाधान नहीं करेगा।

एक रूट सर्टिफिकेट अथॉरिटी है जो मुझे पता है कि सभी प्रमुख ब्राउज़रों के साथ पूर्व-आबादी है और सार्वजनिक आईपी पते पर एसएसएल प्रमाणपत्र जारी करती है: GlobalSign पर एक नज़र डालें । वे आपके प्रमाणपत्र अनुरोध को मान्य करने के लिए RIPE जानकारी पढ़ते हैं, इसलिए आप पहले यह जांचना चाहेंगे कि RIPE प्रविष्टि सही नाम पर जारी की गई है।

प्रतिक्रिया के संबंध में यह प्रविष्टि मिल गई है:

हां , डोमेन नाम खरीदना और उस CN पर SSL प्रमाणपत्र जारी करना बेहतर होगा। यह GlobalSign विकल्प से भी कम महंगा है।

लेकिन , ऐसे मामले हैं जहां CN के रूप में एक सार्वजनिक आईपी के साथ एसएसएल प्रमाणपत्र उपयोगी हैं। कई इंटरनेट प्रदाता और सरकारें डीएनएस इन्फ्रास्ट्रक्चर के आधार पर अवांछित साइटों को ब्लॉक करती हैं। यदि आप किसी प्रकार की साइट की पेशकश कर रहे हैं, जो राजनीतिक कारणों से अवरुद्ध होने की संभावना है, तो यह एक अच्छा विकल्प है कि यह साइट अपने सार्वजनिक आईपी पते के माध्यम से सुलभ हो। इसी समय, आप होगा उन उपयोगकर्ताओं के लिए एन्क्रिप्ट यातायात करना चाहते हैं और आप अपने गैर तकनीक उपयोगकर्ताओं को अपने ब्राउज़र की सुरक्षा अपवाद चेतावनी के माध्यम से क्लिक करने की परेशानी के माध्यम से जाना नहीं चाहते हैं (क्योंकि प्रमाण पत्र की सीएन से मेल नहीं खाता वास्तविक प्रवेश किया गया)। उन्हें अपने बहुत ही जड़ CA स्थापित करना एक परेशानी का और भी अधिक है और यथार्थवादी नहीं है।

आगे बढ़ें और डोमेन नाम खरीदें। वे सस्ते हैं, इससे सस्ता मत बनो। आपको केवल एक की जरूरत है। शायद यहां तक ​​कि बस बगट्रैकर।यूरोकंपनी.कॉम की स्थापना की जाए।

फिर प्रत्येक बगट्रैकर के लिए, उस नाम के लिए एक उपडोमेन स्थापित करें। उन सभी उप डोमेन में से एक एसएसएल प्रमाणपत्र प्राप्त करें। चूँकि आप विशेष रूप से लागत से कम लगते हैं, जिस कंपनी के साथ आप व्यापार करना चाहते हैं उसे StartSSL कहा जाता है।

http://www.startssl.com/

आप उनका उपयोग करना चाहते हैं इसका कारण यह है कि (प्रमुख ब्राउज़रों द्वारा भरोसेमंद होने के अलावा) उनके प्रमाणपत्रों में एक हाथ और एक पैर की लागत नहीं है। प्रमाणित का सबसे बुनियादी प्रकार वास्तव में, ईमानदारी से, कोई बकवास नहीं है। वे आपकी पहचान को सत्यापित करते हैं, फिर आपको जितनी आवश्यकता हो उतने मुद्दे जारी करते हैं। यदि आप फैनसीर सेरेट्स चाहते हैं (जो आमतौर पर कई सौ रुपये खर्च होते हैं), तो आप एक ही आईपी पर कई डोमेन के लिए एसएसएल का समर्थन करने के लिए 2 साल के लिए $ 50 के आसपास देख रहे हैं।

वे सुपर सस्ते हैं जो आपको मिलता है। वे वास्तविक ग्राहक जारी करते हैं, आपके क्लाइंट ब्राउज़रों द्वारा भरोसा किया जाता है, न कि अन्य स्थानों की तरह 90-दिन के परीक्षण।