PCI合规性扫描程序泄露保护安全访问Plesk Panel的自签名SSL证书包含Plesk Panel的位置与证书上的名称之间的名称不匹配,即自签名证书的名称是“Parallels”,到达Plesk的域名是“IP地址:8443”。设置SSL证书的通用名称以保护Plesk面板
所以我想我会继续并获得一个免费的SSL证书,试图摆弄这个错误。但是当我生成证书时,我使用我的服务器域名作为站点名称生成证书。所以如果我访问'域名:8443'一切正常,没有ssl警告。但是,如果我访问'ip address:8443'(我相信这是扫描程序的功能),我得到证书名称不匹配错误,Digicert的ssl检查程序说证书名称应该是ip地址。
我可以生成一个通用名称是IP地址的证书吗?我很想说我应该做PCI扫描仪接受的东西,但是真正使用的正确名称是什么?有人遇到过这个问题吗?
您可以尝试IP地址的主题备用名称扩展名。此外,您还可以保持“平行线”为通用名称,并添加主题备用名称扩展DNS名称,这应该是首选的比赛(比通用名称,即更高的优先级。)
可我甚至产生一个通用名称是IP地址的证书?
(感谢布鲁诺指出正确的解决方案)在CSR中有足够的设置subjectAltName。
IFAIK有Plesk中没有这样的选择,但对于OpenSSL的http://apetec.com/support/GenerateSAN-CSR.htm
我甚至可以生成公共名是IP地址的证书在这里很好的指导?
不,你不应该。虽然这可能与某些浏览器中运行,这将失败,并与该HTTPS specification兼容客户端:
在某些情况下,URI被指定为IP地址,而不是主机名。在这种情况下,iPAddress subjectAltName必须存在于证书中,并且必须与URI中的IP完全匹配。
如果要在证书中使用IP地址,则必须将其作为主题备用名称(类型为IP地址,而不是DNS)。您可以检查this question以了解如何执行此操作的详细信息。
但是,更重要的是,听起来就像在你的情况下你根本不需要使用IP地址。
证书名称验证的目的是检查证书中的身份是否与客户端请求的身份匹配。 (反向查找或其他名称无关紧要。)
事实上,您已经为系统配置了您的域名,并且它在使用名称时起作用,这意味着它已正确配置。这听起来像是你给你的扫描工具提供了你想扫描的IP地址(这不是客户端通常使用的):使用主机名来代替。这就是扫描工具应该尝试比较的内容。
您好,@Bruno您能否支持我为Plesk创建文档http://stackoverflow.com/documentation/plesk/commit? –
不,您不应该在CN中拥有IP地址。请参阅[本答案](http://stackoverflow.com/a/11710762/372643)(或阅读RFC 2818)。 – Bruno