IIS 证书。与网站的关系证书[关闭]答案

【问题标题】：IIS certificates. Relation certificate with web site [closed]IIS 证书。与网站的关系证书[关闭]
【发布时间】：2013-03-27 19:56:18
【问题描述】：

我需要为我的网站设置 https 连接。

为了开发，我将使用可以通过认证中心的专用测试证书生成工具生成的测试证书。要创建证书，我需要填写一张表格，然后会生成测试证书。当然，对于真正的证书来说，一切都更加复杂，但我现在只能进行测试。

我的问题是，在测试证书生成过程中，有几个文件，如证书名称、组织名称、组织电子邮件、城市等。

但是生成的证书将如何与我的域连接？

据我所知，证书必须有一些指向域名的“链接”，以使用户知道他收到的证书来自我的域，而不是其他东西。

例如，我有“mydomain.com”。而且我认为“mydomain.com”必须包含在证书的某个地方，当用户从我的网站收到数据时，它可以看到证书是正确的并且有关于域的信息。 我理解错了吗？

为什么测试服务器证书工具没有域地址字段？

【问题讨论】：

【解决方案1】：

在HTTPS specification (RFC 2818), section 3.1（和RFC 6125）中描述了客户端如何验证主机名（以及服务器证书应该如何）。

简而言之，您的主机名应位于 DNS 类型的主题备用名称 (SAN) 扩展中。如果没有 DNS SAN，它应该在您的主题 DN 的 CN（通用名称）RDN（相对可分辨名称）中。

从这个角度来看，其余的（组织、电子邮件、...）几乎无关紧要：这将取决于 CA 政策。

遵循这个规范很好，即使是测试证书。

【讨论】：

您的意思是，如果证书主题中没有 SAN，我可以为我的域指定 CN，比如我的 CN = mydomain.com 或 CN = 192.168.0.10:2022，因为没有创建域
首先，没有端口号，只有主机或IP地址。其次，根据规范，如果您想使用 IP 地址，您必须使用 IP 地址 类型的 SAN（不是 DNS），尽管有些客户端会让您摆脱只使用CN。 CN=www.mydomain.com 应该可以，是的，但如果可以的话，最好使用 SAN。
谢谢。有测试不是真正的证书，所以现在我需要让它至少工作。至于IP，您的意思是证书中的CN = 192.168.0.10不起作用吗？
是的，我的意思是 CN=192.168.0.10 不适用于所有客户端（例如，Java 客户端会拒绝它），但一些客户端仍然会接受它（尽管规范不允许)。
感谢您的帮助。该站点可以通过 IP 192.168.0.10 从内部网络访问，通过100.100.100.100:5000 从 Internet 访问（假 IP - 我现在不记得了）。我可以将两个 IP 都放入证书吗？因为如果我在内部有一个外部网络用户的证书，请参阅证书问题。或者我可以在 IIS 上安装两个证书，它会根据请求选择正确的证书 - 内部或外部网络？