Я хотел бы установить сертификат SNI
Там нет такого понятия, как сертификат SNI. Это расширение TLS, и это означает, что имя сервера отправляется в ClientHello
.
сертификат, который поддерживает оба имени хоста nas.domain.local. в дополнение к home.notarealdomainname.com.
CA, вероятно, не будет выдавать этот сертификат из-за nas.domain.local
.
Но его не ясно мне, где выдача запрещено под CA / Browser (CA / B) Основные требования документов (СА и браузеры делают то, что они согласуют в CA / B форумах, они ничего от IETF не следовать или РЛК).
В связи с этим home.notarealdomainname.com
вы будете удовлетворять требованиям раздела 11.1.1 «Авторизация регистрантом доменного имени». Раздел 11.3 запрещает *.local
, но это связано с подстановочным знаком (а не локальным именем).
Поскольку я не могу найти, где ЦС запрещено выдавать сертификат, вам следует спросить ЦС о выдаче сертификата, который включает локальное имя (в дополнение к общему имени, которым вы управляете).
Я не хочу выдавать свой собственный сертификат, так как для удобства использования я бы хотел, чтобы браузеры доверяли этому сертификату.
Вы должны выполнить следующие шаги (даже если вы не совсем хотите это делать):
- создать свой собственный CA
- создайте CSR со всеми именами, которые вы хотите иметь на сервере
- выдать сертификат на основании КСО
- подписать сертификат с вашим CA
- установите свой CA на свои устройства и машины
Единственное различие между предварительно доверенным списком CA в браузерах и хранилищах сертификатов и вашим CA заключается в том, что вы должны установить свой CA вручную.
Если вам нужно использовать OpenSSL для создания CSR с несколькими дополнительными именами субъекта (например, nas.domain.local
и home.notarealdomainname.com
), то посмотрите этот вопрос по переполнению стека: сертификат с расширенным использованием ключа работает только в Firefox . В частности, смотрите файл конфигурации OpenSSL .
Наконец, это известная проблема с Интернетом вещей; и в настоящее время не хватает решения. Недавно он был включен в список рассылки по безопасности веб-приложений. См. Предложение: Пометка HTTP как незащищенного :
Я хотел бы предложить рассмотреть четвертую категорию: Персональные
устройства (домашние маршрутизаторы, принтеры, IoT, малиновый pis в классах,
холодильники):
- по своей природе не могут участвовать в системах DNS и CA
- скорее всего, в частном сетевом блоке
- пользователь является владельцем сервиса, следовательно, может доверять себе, а не CA