SSL-certifikat för SmartX Server: IP-adress och påverkan av IP-ändringar
Vid användning av självsignerade SSL/TLS-certifikat som hanteras med Device Administrator, kontrollerar klienter posterna i Subject Alternative Name (SAN) i server certifikatet vid validering.
- Om klienter ansluter via IP-adress måste SAN innehålla denna IP-adress.
- Om klienter ansluter via DNS-hostname måste SAN innehålla hostname.
Certifikat som saknar den identifierare som klienterna använder kommer att misslyckas vid validering.
Dessutom kräver självsignerade certifikat att klienterna litar på det utfärdande rootcertifikatet.
Är IP-adressen obligatorisk i SSL-certifikatet?
Nej. Den är inte strikt nödvändig.
Rekommenderat:
Inkludera DNS-hostname (t.ex. My_Server) i SAN.
Valfritt:
Inkludera IP-adressen om det är känt att klienter ansluter via IP-adress i stället för hostname.
Varför hostname föredras:
SAN-poster baserade på hostname är tåliga mot IP-ändringar. Så länge DNS pekar hostname till aktuell IP-adress förblir certifikatet giltigt.
Vad händer om SmartX-serverns IP-adress ändras?
- Om SAN endast innehåller den gamla IP-adressen och klienter ansluter via IP, misslyckas TLS-valideringen och klienterna kan inte ansluta.
- Om SAN innehåller DNS-hostname och klienter ansluter via hostname förblir certifikatet giltigt efter IP-ändringen, förutsatt att DNS uppdateras.
Säkerställ att alla klienter litar på det självsignerade rootcertifikatet. Detta krav är oberoende av innehållet i SAN.
Publicerad för: Schneider Electric Sverige
Behöver du hjälp?
Produktväljare
Hitta snabbt och enkelt rätt produkter och tillbehör för dina ändamål.
Begär en offert
Ställ din fråga online så kontaktar vi dig.
Här köper du
Hitta enkelt närmaste Schneider Electric-distributör på din ort.
Hjälpcenter
Hitta alla supportresurser som du behöver på ett ställe.