PCI合规性扫描程序警告说,保护对Plesk Panel的安全访问的自签名SSL证书包含Plesk Panel的位置与证书上的名称之间的名称不匹配,即自签名证书的名称是" Parallels"到达Plesk的域名是“IP地址:8443'”。
所以我想我会继续获得免费的SSL证书来试图摆弄这个错误。但是当我生成证书时,我在生成证书时使用了我的服务器域名作为站点名称。因此,如果我访问域名:8443'一切都很好,没有ssl警告。但如果我访问地址:8443' (我相信是扫描仪所做的)我得到证书名称不匹配错误,Digicert的ssl检查器说证书名称应该是IP地址。
我是否可以生成一个通用名称为IP地址的证书?我很想说我应该只做PCI扫描仪接受的内容,但真正使用的正确名称是什么?以前有人遇到过这个问题吗?
答案 0 :(得分:0)
您可以尝试使用主题备用名称扩展名作为IP地址。此外,您可以将“Parallels”保留为公共名称,并为DNS名称添加主题备用名称扩展名,该名称应该是首选匹配项(即优先级高于公用名称。)
答案 1 :(得分:0)
我是否可以生成一个通用名称为IP地址的证书?
(感谢Bruno指出正确的解决方案)在CSR中设置subjectAltName就足够了。
IFAIK在Plesk中没有这样的选项,但这里有关于openssl的良好指示http://apetec.com/support/GenerateSAN-CSR.htm
答案 2 :(得分:0)
不,你不应该。虽然这可能适用于某些浏览器,但对于符合HTTPS specification:的客户端,这将失败我是否可以生成一个通用名称为IP地址的证书?
在某些情况下,URI被指定为IP地址而不是主机名。在这种情况下,iPAddress subjectAltName必须存在于证书中,并且必须与URI中的IP完全匹配。
如果要在证书中使用IP地址,则必须将其作为主题备用名称(IP地址类型,而不是DNS)。您可以查看this question以了解有关如何执行此操作的详细信息。
然而,更重要的是,在您的情况下,您根本不需要使用IP地址。
证书名称验证的目的是检查证书中的身份是否与客户端所请求的身份匹配。 (反向查找或其他名称并不重要。)
您已经为您的域名配置了系统,并且在使用该名称时它的工作原理意味着它已经正确配置。听起来您向扫描工具提供了您尝试扫描的IP地址(这不是客户通常会使用的):让它使用您的主机名。这就是扫描工具应该尝试比较的内容。