什么是有效的 SSL 证书通用名称？

Question

我需要一个内部域名的 SSL 证书，但我尝试购买证书的所有提供商都说无效的公用名。

我只能为 .com、.co.uk 等顶级域名获取 SSL 吗？

是否有任何提供商可以向我颁发 mydomain.lan 证书（例如）？

Answer 1

证书证明您确实拥有该域名。证书颁发机构无法确保您拥有某个名为 mydomain.lan 的 LAN 设备，因此，他们 (CA) 不会为您的本地设备发出证书，因为您可以伪造它。

另一方面，您可以生成自签名证书并将其作为根证书安装在 LAN 内的机器上。这是相当安全的，当使用浏览器、IM 客户端或其他支持 SSL 的软件通过 SSL 访问服务器时，不会导致服务器端出现有关自签名证书的警告。

Answer 2

公开可用的域很好，任何有效的扩展都可以超出您提到的范围。 IP 地址也可以，但您需要提供提供商提供的文件，证明他们拥有或被授权使用所述 IP 地址。

内部名称不会由 CA 签名，除非是在 Exchange 的 SAN 证书之类的情况下，其中 SAN 字段中指定的域可能具有 mydomain.lan 之类的内容。我已经通过 SSL.com 完成了这项工作，所以我知道他们会颁发这样的证书。