是否可以获得只能在本地访问的网站或服务的 SSL 证书？ [复制]

Question

例如，如果我拥有 domain.tld 并想在 sub.domain.tld 上托管一些东西（它会解析为本地地址，例如。192.168 .xx.xx），我可以为其获取非自签名 SSL 证书吗？

• 我知道我可以制作自签名证书。这是我目前正在做的事情，但它会导致浏览器警告和其他需要非自签名证书的应用程序出现问题。
• 我知道我可以创建自己的 CA，但是我必须将证书安装到我的所有设备中。这对于没有 root 权限的安卓手机来说很麻烦，而且不可行。
• 为了安全起见，我目前仅在我的本地网络上提供此服务。我不希望它面对互联网。由于我拥有该域，我可以轻松地使用公共 IP 托管它，并获得 SSL 证书。然而，这带来了很多安全问题。一种可能的解决方案是使用基本访问身份验证对所有内容进行密码保护，这比内部使用安全性低。

Answer 1

是的，您可以为您控制的域下的任何有效主机名获取有效且公开签名的 SSL 证书。

更好的是，您可以通过 Let's Encrypt 免费获得一个。为此，您必须授予您的主机访问权限以创建 DNS 记录或公开一些内容以验证您拥有该域。在可能的情况下，这是证书的最佳选择，因为它消除了续订问题。

主机名解析的 IP 无关紧要。证书由主机名完成。只要证书公用名或 SAN（服务器备用名称）与请求的主机名匹配，证书就有效。