我有兴趣为我的公共域名(例如example.com)购买通配符SSL证书,以便我们可以使用通用的CA(例如GoDaddy)运行Intranet Web服务器。我打算公开发布DNS名称(例如internal.example.com),但他们的IP地址实际上是LAN地址(例如,192。。。*)。我们想使用公共DNS,因为这些Web服务器实际上可能是开发笔记本电脑,因此我们将使用动态DNS进行更新。我们的意图是这些Web服务器只能在每个当前正在运行的LAN上使用。
这是否会普遍适用于所有客户,例如TLS v1.2?
感谢。
答案 0 :(得分:1)
只要客户端可以将流量路由到这些IP地址,它就可以工作(否则您将无法获得连接)。
证书验证依赖于两点:
及时验证证书是否真实,可靠且有效。
验证证书的身份是否与您要查找的内容相符(主机名验证)。
这不取决于DNS解析机制如何。这些机制也与SSL / TLS规范正交(尽管他们建议验证远程方的身份)。
我见过这种设置用于各种客户端和平台(IE,Chrome,FF,Windows / Linux / Mac上的Java客户端),它运行良好。
当然,所有实现是否做得好都很难保证。例如,可能有一些实现认为执行反向DNS查找是个好主意。