SSL cert och IP

Certifikat är baserad på en kedja, där den primära utgivaren, den så kallade rotcertifikatsutfärdaren behöver vara betrodd utav klienten. Alla operativsystem kommer med en standardiserad uppsättning utav rotcertifikatsutgivare ute i världen via vilket du kan köpa underliggande certifikat vars äkthet bekräftas genom rot-certifikatet (och eventuella mellanliggande certifikat). Och som nämnts så utfärdas certifikat via dessa endast mot domännamn, där du som ägare utav domännamnet måste kunna bevisa att du äger den, oftast sker detta via e-post till postmaster/hostmaster@domännamnet.tld, alternativt genom att man sätter upp en DNS-pekare för domännamnet som bevisar att den är din genom existensen av DNS-pekaren.

Så om du nu vill utfärda certifikat mot en hosts IP-adress, så kan du göra detta via ett så kallat själv-signerat certifikat. Ett sådant certifikat bekräftas inte utav någon annan än själva hosten och klienterna kommer därmed att anse trafik mot denna som osäker, men med möjlighet att acceptera och gå vidare ändå. Det andra alternativet är att sätta upp en egen certifikats-kedja/PKI med openssl, där du skapar en egen hittepå rot-certifikatsutgivare som du namnger, och därefter genererar du certifikat för IP/hostname som underliggande under denna. Därefter behöver du exportera certifikatet för rot-certifikatsutgivaren du skapade och installera detta certifikat på dina klienter för att kedjan ska bli komplett och accepteras utan klagomål på klienten.