Permalänk
Medlem

SSL cert och IP

Hej,

Jag behöver skapa ett SSL cert med ett public IP.

Fick då höra av våran cert leverantör att jag måste göra en, domain validation using the HTTP method.
Samt att jag måste ha en webbserver för att kunna genomföra HTTPS processen. Vi har en del webbservrar så det är lugnt.

"vanliga" SSL är inga problem, det pysslar jag med dagligen.

Men hur fasiken ska jag göra en domain validation using the HTTP method?
Och att använda mig av en webbserver för att genomföra en HTTPS process?

Ska jag skicka en fil från webbservern till cert leverantören?

Visa signatur

Lightsaber - Black armour - and balls!

Permalänk
Hedersmedlem

https://www.thesslstore.com/knowledgebase/ssl-validation/how-...

Din leverantör borde ha en liknande instruktion.

Du ska lägga upp en fil som de ger dig för att bevisa att du äger domänen. Kan vara att du genererar den via någon kontrollpanel.

Visa signatur

I am a prototype for a much larger system

Permalänk
Medlem

Bara så vi inte missförstår varandra, men ett SSL cert bryr sig inte om någon IP utan ligger på ett domännamn.

Visa signatur

CPU: Ryzen 9 3900x Noctua NH-D14 MOBO: TUF Gaming X570-PLUS GPU: GTX 980 RAM: 32 GB 3200 MHz Chassi: R4 PSU: Corsair AX860 Hörlurar: SteelSeries 840 Mus: Logitech G502 Lightspeed V.v. nämn eller citera mig för att få svar.

Permalänk
Medlem
Skrivet av Haptic:

Bara så vi inte missförstår varandra, men ett SSL cert bryr sig inte om någon IP utan ligger på ett domännamn.

Beror helt på vad som står i certets subject respektive subject alternative names (x509). Fast certet i sig bryr sig inte, men de som utfärdar/signerar respektive använder certet kanske gör det 😜.

Visa signatur

stationär 2022: ryzen 7900x@65W, asus strix x670e-f, 32GB, rx6700xt
stationär 2012: i5-3570k@stock, asus p8z77-v le, 16GB, rtx2660s
laptop: ryzen 4800H, 16GB, rtx2060 (Legion 5 15ARH05H)
laptop: i5-2467M, 8GB
nas/server: i5-8400, asus WS C246M PRO/SE, 48GB

Permalänk
Medlem
Skrivet av mille74:

Beror helt på vad som står i certets subject respektive subject alternative names (x509). Fast certet i sig bryr sig inte, men de som utfärdar/signerar respektive använder certet kanske gör det 😜.

ja jäklar du, det var nytt för mig.
Let's encrypt som jag har mest erfarenhet av tillåter det däremot inte!

Tack för rättelsen!

Visa signatur

CPU: Ryzen 9 3900x Noctua NH-D14 MOBO: TUF Gaming X570-PLUS GPU: GTX 980 RAM: 32 GB 3200 MHz Chassi: R4 PSU: Corsair AX860 Hörlurar: SteelSeries 840 Mus: Logitech G502 Lightspeed V.v. nämn eller citera mig för att få svar.

Permalänk
Medlem

Certifikat är baserad på en kedja, där den primära utgivaren, den så kallade rotcertifikatsutfärdaren behöver vara betrodd utav klienten. Alla operativsystem kommer med en standardiserad uppsättning utav rotcertifikatsutgivare ute i världen via vilket du kan köpa underliggande certifikat vars äkthet bekräftas genom rot-certifikatet (och eventuella mellanliggande certifikat). Och som nämnts så utfärdas certifikat via dessa endast mot domännamn, där du som ägare utav domännamnet måste kunna bevisa att du äger den, oftast sker detta via e-post till postmaster/hostmaster@domännamnet.tld, alternativt genom att man sätter upp en DNS-pekare för domännamnet som bevisar att den är din genom existensen av DNS-pekaren.

Så om du nu vill utfärda certifikat mot en hosts IP-adress, så kan du göra detta via ett så kallat själv-signerat certifikat. Ett sådant certifikat bekräftas inte utav någon annan än själva hosten och klienterna kommer därmed att anse trafik mot denna som osäker, men med möjlighet att acceptera och gå vidare ändå. Det andra alternativet är att sätta upp en egen certifikats-kedja/PKI med openssl, där du skapar en egen hittepå rot-certifikatsutgivare som du namnger, och därefter genererar du certifikat för IP/hostname som underliggande under denna. Därefter behöver du exportera certifikatet för rot-certifikatsutgivaren du skapade och installera detta certifikat på dina klienter för att kedjan ska bli komplett och accepteras utan klagomål på klienten.

Visa signatur

Also found as @piteball@mastodon.rockhost.se
vSphere Node - Dell PowerEdge R720xd, Xeon E5-2690, 272GB, 3TB SSD, Nvidia Tesla P4
XCP-ng Node - Dell PowerEdge R720xd, Xeon E5-2697v2, 256GB, 2TB SSD
Xpenology Storage - SuperMicro X10SLL-F/SC825TQ, Xeon E3-1231 v3, 16GB, 90TB HDD
Xpenology Backup - Dell PowerEdge R230, Xeon E3-1220v6, 16GB, 12TB HDD