我有一个具有永久公共IP的后端服务器。从我的发现看来,我的公共IP无法获得CA证书,因此需要为其提供域名,然后添加A记录。例如。 https://server.my-domain.com但我想知道的是,是否有可能拥有任何证书(自签名证书或CA证书)以拥有类似https://my-public-ip的东西,并且不会被http客户端标记为潜在威胁或浏览器?
如果我的理解是正确的,则需要CA证书来证明域是真实的,并且没有人模仿它。除了此目的之外,仅出于加密目的,自签名证书还应该足够好吗?如果是这样,为什么我不能简单地为我的公共IP拥有一个自签名证书(没有被标记),因为我已经知道我要与哪个系统通信?
答案 0 :(得分:0)
直到有人纠正我,我认为我已经找到了解决方案。使用带有裸IP地址的自签名证书的问题再次类似于我们在域名中看到的问题。 MITM可以模拟IP地址,并且类似于域模拟。因此,使用CA证书或确保客户端已经知道它需要信任的自签名证书非常重要。
因此,解决了带有裸IP的自签名证书的问题。本质上,它与使用具有任何其他域名的自签名证书一样容易受到攻击。
就我而言,我必须拥有CA证书,因为我无法控制客户端将尝试从中连接到服务器的网络。