Introduction
An SSL certificate is typically issued to a Fully Qualified Domain Name (FQDN) such as «https://www.example.com». However, some organizations need an SSL certificate for a public IP address. GlobalSign offers support for IP addresses on SSL certificates both in the common name and Subject Alternative Name (SANs) fields.
Иногда разработчикам нужен сертификат для доменного имени “localhost” — для локальной разработки, или для распространения внутри нативных приложений для взаимодействия с web-приложением. Let’s Encrypt не предоставляет сертификатов для “localhost”, т.к. во-первых, у этого доменного имени нет определённого владельца, и во-вторых, нет домена первого уровня — например, “.com” или “.net”. Теоретически, возможно настроить доменное имя так, чтобы оно указывало на адрес 127.0.0.1, и выпустить для него сертификат после прохождения проверки DNS. Тем не менее, есть более удачные решения. Тем не менее, есть более удачные решения.
- Перейдите
в Личный кабинет. - Добавьте в корзину сертификат Sectigo (ex Comodo) Positive SSL или
Organization SSL. - Укажите в заказе любую страну, кроме России и Беларуси.
- Обязательно выберите метод проверки сертификата — по хеш-файлу.
- Если ваш сайт уже работает на HTTPS, отметьте это в заказе при выборе
метода проверки.
Подробнее, как заказать сертификат, разберём далее.
There are plenty of enterprise use cases where companies need SSL certificates for IP address. Companies use IP addresses to access various types of applications via the internet or intranet. Based on the organization strategies you would want to secure IP addresses with SSL certificates.
In this article, I am going to explain to you the process to get an SSL certificate for an IP address and which type of SSL certificates are good to secure IP addresses.
Also, read The Risk of Self Signed SSL certificates
Now let’s get deeper into the individual subsets to learn further.
- Служба поддержки SSL.com
- 4 ноября 2019
Служба поддержки SSL. com
Автор — администратор контента
Связанные часто задаваемые вопросы
- PositiveSSL
- PositiveSSL Multidomain
Руководство по использованию IP-адресов от SSL-регулятора CA/B Forum
Проверки домена достаточно для блога, хобби-сайта или сайта-визитки
- Быстро и просто получить;
- Подходит для частных лиц;
- Рекомендуем указывать домен включая www, тогда сертификат будет защищать и основной домен, и адрес с www
Подойдет, если нужно защитить все поддомены вашего сайта
Мультидоменный SSL нужен, если вы хотите защитить одним сертификатом несколько разных доменов
- Быстро и просто получить.
- Подходит для частных лиц.
- Рекомендуем указывать домен включая www, тогда сертификат будет защищать и основной домен, и адрес с www
GlobalSign DomainSSL Wildcard
- Подходит для частных лиц;
- Быстро и просто получить;
Проверка компаний для сайтов, которые собирают данные пользователей, но не принимают платежи
- Важно: для получения требуется D-U-N-S номер;
- Печать сертификата содержит название компании.
- Возможен заказ на IP
- Рекомендуем указывать домен включая www, тогда сертификат будет защищать и основной домен, и адрес с www
GlobalSign OrganizationSSL Wildcard
- Важно: для получения требуется D-U-N-S номер;
- Печать сертификата содержит название компании.
GlobalSign EV SSL
Расширенная проверка для интернет-магазинов, банков, страховых и гос. органов
- Обеспечивает высший уровень доверия посетителей.
- Рекомендуем указывать домен включая www, тогда сертификат будет защищать и основной домен, и адрес с www
Sectigo (ex Comodo) PositiveSSL
- Недоступно для доменов .ru, .by;
- Быстро и просто получить;
- Подходит для частных лиц.
Sectigo (ex Comodo) PositiveSSL Wildcard
Sectigo (ex Comodo) PositiveSSL Multi Domain (включено 3 домена)
- Недоступно для доменов .ru, .by;
- Домены с WWW и без WWW считаются 2 отдельными доменами
Sectigo (ex Comodo) Essential SSL
Sectigo (ex Comodo) Essential SSL Wildcard
- Недоступно для доменов .ru, .by;
- Подходит для частных лиц;
Sectigo (ex Comodo) Instant SSL
Sectigo (ex Comodo) Premium Wildcard
Sectigo (ex Comodo) EV SSL certificate
- Недоступно для доменов .ru, .by;
- Обеспечивает высший уровень доверия посетителей.
Thawte SSL123 Wildcard
Thawte SSL Web Server
- Недоступно для доменов .ru, .by;
- Печать сертификата содержит название компании.
Thawte SSL Web Server with EV
GeoTrust DV SSL
GeoTrust True BusinessID
GeoTrust True BusinessID Wildсard
GeoTrust True BusinessID with EV
DigiCert Secure Site
DigiCert Secure Site with EV
Как можно использовать сертификат IntranetSSL?
- Локальные имена узлов (mysite.localhost)
- Полные доменные имена (www.mysite.com)
Для чего нужны сертификаты IntranetSSL?
- Если у вас есть сервера внутри локальной сети, которые не нуждаются в публичном доверии, IntranetSSL является наиболее экономичным вариантом для их защиты
- Если вам нужно выдавать сертификаты, которые недопустимы в публичных иерархиях, например, с алгоритмом SHA-1 или сроком действия 3-5 лет
- Если вы не хотите, чтобы имена ваших внутренних серверов отображались в логах публичной системы мониторинга прозрачности сертификатов (CT)
- Если вы хотите управлять всеми своими сертификатами, как публичными, так и приватными, из единого места, то IntranetSSL позволяет использовать сертифицированные WebTrust инфраструктуру и инструменты управления GlobalSign для обнаружения, отслеживания, отчетов и управления всеми сертификатами в динамично изменяющейся серверной среде
GoGetSSL Public IP SSL
Купить Public IP SSL — ssl сертификат на ip адрес для сайтов и приложений без доменного имени. Работа сертификата для ip не отличается от классического сертификата для домена.
Валидация: IP адрес по HTTP(S)
Время выпуска: 30 минут
Доступен физ. лицам: Да
Изменение домена: Да
Бесплатный перевыпуск: Да
Печать безопасности: Статическая
Требуются документы: Нет
Возврат: 30 дней
Шифрование: 256-bit SHA-2
Алгоритм: RSA и ECC
Серверы: Не ограничено
Поддержка моб. устройств: Да
Как оформить Public IP SSL
Процедура оформления не отличается от заказа обычного сертификата для домена за исключением:
Для локальной разработки
При разработке web-приложения обычно запускают локальный web-сервер (Apache, Nginx), настроенный на http://localhost:8000/. Однако, браузеры по-разному обрабатывают HTTP- и HTTPS-запросы. На HTTPS-странице попытка загрузить Javascript по HTTP-протоколу будет заблокирована. Поэтому, при локальной разработке, используя HTTP, скрипты будут загружаться нормально, но после выкладки на рабочие HTTPS-серверы возникнут проблемы. Чтобы избежать такой ситуации, нужно настроить доступ по HTTPS на локальном web-сервере. Но как избавиться от постоянных сообщений об ошибке сертификата? Как увидеть “зелёный замОк” в адресной строке?
Лучшим решением будет создание собственного сертификата — самоподписанного, или подписанного локальным корневым сертификатом. После создания сертификата — просто добавьте его в доверенное хранилище операционной системы. Подробности см.ниже.
Лайфхак по установке SSL
Если для управления сайтами вы пользуетесь панелью ISPmanager,
SSL-сертификат можно установить через неё. Для этого мы подготовили
инструкцию:
Установка SSL-cертификата в ISPmanager Lite, Host, Pro
Создание и поверка собственных сертификатов
Любой может выпустить собственный сертификат без обращения к ЦС. Единственное различие будет в том, что выпущенные вами сертификаты не будут приниматься кем-либо ещё. Для локальной разработки этого достаточно.
Простейший способ сгенерировать закрытый ключ и самоподписанный сертификат для localhost — выполнить следующую команду из пакета openssl:
Вы можете сконфигурировать локальный web-сервер, используя файлы localhost.crt и localhost.key, добавив localhost.crt в список доверенных корневых сертификатов.
Если вам требуется чуть больше реализма в сертификатах для локальной разработки, попробуйте minica для создания собственного корневого сертификата, и выпуска конечных сертификатов, подписанных корневым. В итоге вы будете импортировать корневой сертификат вместо самоподписанных конечных сертификатов.
Также, вы можете использовать доменное имя с точками внутри (например, www.localhost), добавив в файл /etc/hosts как алиас адреса 127.0.0.1. Этот подход чуть изменит способ обработки браузерами хранилища для cookie.
Restriction on SSL Certificate for IP address
On the off chance that you conclude that you truly need an IP in your cert there are explicit stipulations to consider. The greatest obstacle for most people is that the IP address must be explicitly doled out to your organization or association (not your ISP or facilitating supplier) as checked by an IP WHOIS query.
The limitation imposed by Public CAs are;
- Open IP tends to just (e.g., 18.236.49.115)
- Private IP addresses are not permitted (e.g., 10.0.0.0)
- The IP must show your association’s lawful name and area in an IP WHOIS query
- Only Organization Validated (OV) certificates can be issued (DV and EV certs can’t be issued)
- Single domain and multi-domain certs are allowed.
- The IP can be the Common Name (CN) or a Subject Alternative Name (SAN) field
SSL certificate for Public IP address
Any IP address that is accessible over the internet is a Public IP address. These are the guidelines and necessities to get an SSL certificate for a public IP address:
1) Your association must prove the ownership of that specific IP address. I.e. the IP address must be only relegated to your association (not to the web hosting company).
2) A certificate authority must have the option to check your IP proprietorship under an IP WHOIS query. Your association name, physical location, telephone number, and email id should appear in the IP WHOIS query.
3) Both Organization Validated Single domain and Organization Validated multi-domain SSL certificates can be utilized for a public IP address.
4) You can compose an IP address in the Common Name (CN) or a Subject Alternative Name (SAN) field (if you have picked a multi-domain SSL).
Комплексное управление сертификатами
Сертификаты IntranetSSL выпускаются непосредственно в платформе MPKI компании GlobalSign, предоставляя организациям все те же надежные функции управления жизненным циклом сертификата, что и для публичных доверенных SSL-сертификатов. Единственное отличие заключается в том, что эти сертификаты выдаются центрами сертификации GlobalSign, которые не являются публично доступными. Управляйте с единой платформы вашими публичными доверенными SSL-сертификатами и приватными доверенными SSL-сертификатами.
Преимущества управляемой платформы PKI GlobalSign:
- Облачная платформа управления сертификатами сокращает затраты сил, денег
и времени на управление многочисленными SSL-сертификатами - Поддержка нескольких подразделений в рамках одной учетной записи и делегирование полномочий администратора позволяют создать, полнофункциональную и централизованную систему управления всеми потребностями в сертификатах для вашей организации
- Гибкие условия ведения бизнеса, в том числе оплата по мере поступления, внесение средств на счет, сертификаты или модели лицензирования SAN, устраняют необходимость приобретения и отслеживания токенов или «пакетов»
- Службы OCSP с высоким уровнем нагрузки и высокой доступностью
- Инструменты для локального сканирования, обнаружения и отслеживания внутренних серверов, которым требуются сертификаты IntranetSSL
- Полностью автоматизированная выдача через API-интерфейсы
GlobalSign предлагает все инструменты, службы и продукты SSL, позволяющие снизить риски и реагировать на угрозы без чрезмерных расходов на SSL. Возьмите под контроль управление SL с помощью GlobalSign уже сегодня!
Далее: Cвяжитесь с нами сегодня, чтобы защитить имена внутренних серверов!
Как купить SSL-сертификаты с проверкой на IP-адреса в ISPmanager
SSL-сертификат Sectigo Positive SSL можно выпустить на IP
3. На следующем шаге будет сгенерирован ключ. По умолчанию он будет сохранён
в Личном кабинете. Для большей безопасности вы можете отметить «Не сохранять
ключ в системе» — в таком случае сохраните ключ в любом текстовом файле.
Нажмите «Далее».
4. Введите в форме контактные данные и нажмите «Далее».
5. На следующем шаге «Подтверждения сертификата» выберите проверку по
хеш-файлу. Это обязательно для сертификатов, которые выдают на IP. Хеш-файл
— текстовый документ, который нужно разместить в корневом каталоге сайта.
Если ваш сайт доступен по протоколу HTTPS, обязательно отметьте это в
чекбоксе при заказе — иначе сертификат не будет корректно работать. Это
связано с тем, что для сайтов HTTP и HTTPS хеш-файлы отличаются.
6. Завершите и оплатите заказ. Готово!
Заказанные сертификаты в Личном кабинете
Данные об SSL-cертификате, файлы сертификата и хеш-файл
Чтобы сертификат заработал, нужно установить SSL на сайт и пройти проверку,
разместив в корневом каталоге сайта хеш-файл.
Корневой IntranetSSL
Публичные корневые сертификаты GlobalSign уже встроены в каждую операционную систему, браузер, устройство и т.п. Однако сертификаты IntranetSSL выдаются из отдельных непубличных корневых центров — так они могут содержать иные запрещенные функции, такие как поддержка внутренних имен серверов, SHA -1 для устаревших систем, срок действия более 5 лет и отсутствие необходимости публикации сертификатов в публичных логах мониторинга прозрачности сертификатов.
Для того, чтобы браузеры или межсерверные связи доверяли сертификатам IntranetSSL, необходимо дистрибутировать корневые сертификаты через групповые политики GPO или иные связанные с этим корпоративные инструменты, чтобы клиенты не получали предупреждающие сообщения. Как только это будет сделано, клиенты не заметят никакой разницы между сайтами, использующими IntranetSSL и сайтами с общедоступными SSL-сертификатами.
Важно отметить, что вы можете использовать публично доверенные сертификаты для внутренних ресурсов, если вам не нужно поддерживать один из описанных выше сценариев (например, внутренние имена серверов, более длительный период действия, алгоритм SHA-1 и т.п.). Свяжитесь с нами, если вам нужна помощь, чтобы решить, какой тип сертификата лучше всего подходит для вашей среды.
Сертификаты SSL/TLS для внутренних имен серверов, зарезервированных IP-адресов и доменных имен
Примечание: Вы можете использовать нашу стандартную линейку публично доверенных сертификатов на внутренних серверах. IntranetSSL предназначен для приложений, которые либо не нуждаются, либо не могут использоваться в публичном доверии, потому что им нужны сертификаты, которые не соответствуют отраслевым требованиям (подробнее об этом ниже).
Related Articles
An Overview of DomainSSL
As one of the most popular SSL Certificates on the web, DomainSSL is one of the fastest and most affordable ways to activate strong SSL protection for your website. DomainSSL is fully automated which means you’ll be able to start protecting your ecommerce, logins, webmail and more in just a few minutes, 24/7.
keywords: domain ssl overview, domain ssl certificates, dv ssl certificates, dvssl, dv, ssl, domain overview
OrganizationSSL Overview
High assurance OrganizationSSL Certificates provide instant identity confirmation and strong SSL protection for your website. Your customers see that GlobalSign has authenticated your identity — strengthening their trust that they’re doing business with the right people.
How to add DNS CAA record in a hosted DNS
This article will provide the guidelines in adding a Certification Authority Authorization (CAA) record in a hosted DNS. If this is not the solution you are looking for, please search for your solution in the search bar above. Note: If you have any issues or questions whether CAA is supported with your setup, contact your DNS manager for further details.
GlobalSign System Alerts
View recent system alerts.
Atlas Discovery
Scan your endpoints to locate all of your Certificates.
SSL Configuration Test
Check your certificate installation for SSL issues and vulnerabilities.
How to get an SSL Certificate for an IP address
To get your SSL certificate you can reach out to the existing SSL certificate vendor. Alternatively, you can reach out to a leading SSL certificate provider and we will help you expedite the process to get SSL for your IP address.
List of SSL Certificates for IP Address
Public IP addresses are supported on GlobalSign’s OrganizationSSL certificates. Other variations, such as DomainSSL and ExtendedSSL, do not support the securing of an IP address. While an IP address can be specified as a common name or as a Subject Alternative name, there are compatibility factors that should be taken into account before deciding how to order.
If you are targeting Windows 10 and later, you can populate the IP address in either field. If however, you are targeting Windows 8.1 and earlier, you should only specify the IP address as the common name.
In order to maintain compliance with RFC 5280, subject alternative names have a value that specifies the content type. For example, a SAN for www.example.com would be specified as dNSName and a SAN for 123.456.78.90 would be specified as iPAddress. Proper handling for the iPAddress SAN type was added in Windows 10, versions prior to this will not process iPAddress SANs properly.
For this reason, if you need to target Windows versions prior to 10, order the certificate with the desired IP address as the common name; earlier versions of Windows will validate from the common name instead of the iPAddress SAN entry.
Note: Only public IP addresses can be used on OrganizationSSL certificates. You must be the owner of the public IP address as per the records held with the RIPE Network Coordination Centre (NCC). Internal IP addresses may be secured with GlobalSign’s IntranetSSL certificates.
Подпишитесь на рассылку новостей SSL. com
Не пропустите новые статьи и обновления с SSL.com
Ключевые особенности сертификатов IntranetSSL
- Защита с помощью иерархий RSA 2048 бит и ECC 256 бит
- Гибкий выбор алгоритмов подписи: SHA-1 или SHA-256 или ECDSA
- Опция лицензирования SAN добавляет поддержку ограниченного числа альтернативных имен, позволяя выпускать временный сертификат или сертификат с коротким периодом действия без изменения базовых условий
- Мгновенная выдача с помощью платформы по управлению сертификатами GlobalSign
- Поддержка более длительного периода действия сертификата, чем допустимо в публичных иерархиях (до 5 лет)
- Многократный повторный выпуск в течение срока действия
- Опциональная поддержка AutoCSR — мы создадим для вас ключи и CSR
- Лицензирование неограниченного количества серверов — установка на любом количестве серверов
SSL Certificate for Private IP address
An internal IP (aka private IP) is an IPv4 or IPv6 address that the IANA has set apart as saved, for example:
- Any IPv4 address in the RFC 1918 range (e.g. 10.0.0.0, 172.16.0.0, 192.168.0.0)
- Any IPv6 address in the RFC 4193 range
You can’t get an SSL certificate for a private IP address. Being a private IP address is not possible by trusted CAs to validate the IP address’s authenticity to issue one. For instance, a certificate given to 192.168.0.1 would be hypothetically substantial in any specific situation, and this won’t be permitted by a global CA. You can check this complete guide on private IP address
SSL Cert Alternative for internal IP Address
Utilizing self-signed SSL Certificates – notwithstanding, this is just acceptable in constrained conditions (for example test servers). It instructs clients to overlook significant program alerts that can prompt security issues if they acknowledge self-marked certificates outside of their organization.
Для нативных приложений, взаимодействующих с web-приложениями
С одной стороны, современные браузеры считают http://127.0.0.1:8000/ “потенциально заслуживающим доверие” URL-ом, потому что он локальный. Отправленный на 127.0.0.1 трафик гарантированно не уйдёт за пределы компьютера, соответственно, считается безопасным для перехвата по сети. Это означает, что если web-приложение использует HTTPS, а нативное приложение запущено на 127.0.0.1, то обе программы могут успешно взаимодействовать по XHR. С другой стороны, для localhost это ещё не работает. А WebSocket-ы игнорируют и 127.0.0.1, и localhost.
Возможно, вы захотите обойти эти ограничения, настроив указание произвольного доменного имени в глобальном DNS на адрес 127.0.0.1 (например, localhost.example.com), выпустив сертификат для этого домена, распространяя сертификат и соответствующий ему закрытый ключ внутри нативного приложения, и настроив взаимодействие по https://localhost.example.com:8000/ вместо http://127.0.0.1:8000/. Не делайте этого! Это подвергнет пользователей риску, и сертификат может быть отозван.
Успех атаки MitM возможен потому, что вы вынуждены распространять закрытый ключ для сертификата вместе с нативным приложением. Соответственно, любой, кто скачает это приложение, получит копию ключа. Этим вы скомпрометируете закрытый ключ, и Удостоверяющий Центр (УЦ) отзовёт сертификат, как только узнает об этом. У множества нативных приложений были отозваны их сертификаты из-за распространения закрытого ключа.
К сожалению, это сужает список безопасных способов взаимодействия нативных и web-приложений. И ситуация может ещё больше усложниться в недалёком будущем, если браузеры продолжат затруднять доступ к localhost.
Так же нужно отметить, что web-сервисы с доступом к нативному API изначально небезопасны, потому что сайты, которые вы не намеревались авторизовать, могут получить доступ к этому API. Если решите углубиться в изучение проблемы, обратите внимание на Cross-Origin Resource Sharing, использование заголовка ответа Access-Control-Allow-Origin, и надёжного HTTP-парсера. Потому как даже серверы, не прошедшие подтверждение, могут посылать предварительные запросы, эксплуатирующие уязвимости в HTTP-парсере.