如何为 IP 地址签署 SSL 证书？答案

【问题标题】：How to sign an SSL certificate for an IP address?如何为 IP 地址签署 SSL 证书？
【发布时间】：2022-07-06 19:06:37
【问题描述】：

我有一台服务器，它只在我家的一台机器上托管我网站的节点后端（我正在使用 express），我想从另一个后端调用这个服务器（我们正在尝试构建一个 API 系统可以帮助我们处理我们的主要后端）。

我需要一个 SSL 证书，我需要使用 CA 来验证它，但我被困在这一点上。如何验证 SSL？我尝试使用 zeroSSL，但它不起作用，因为我没有 DNS，因此我正在尝试为 ip 地址签署证书。

示例：我不想这样调用我的端点

http://X.X.X.X:port#/endpoint

但是像这样：

https://X.X.X.X:port#/endpoint

任何帮助将不胜感激。

【问题讨论】：

您唯一的选择是获得一个域名。似乎没有任何 CA 会使用 IP 地址身份签署证书。

标签： openssl ssl-certificate backend

【解决方案1】：

zeroSSL 实际上会为 IPV4 地址颁发免费证书（此时 IPV6 似乎不起作用，我不知道 IPV6 IP 有任何其他免费选项）

见https://help.zerossl.com/hc/en-us/articles/360060119973-Is-It-Possible-To-Generate-a-SSL-Certificate-for-an-IP-Address-

你没有说你遇到了什么麻烦，但这不是一个复杂的过程

如文档中所述，您必须使用 HTTP 验证（将文件上传到您的服务器）

一般流程：

按“新证书”
对于“域名”，只需输入您的 IP
选择 90 天证书
自动生成 CSR
选择免费计划
选择“HTTP 文件上传”验证
下载文件
将其上传到 /.well-known/pki-validation/ 目录中的 Web 服务器（根据需要创建目录）
完成验证
下载您的证书

ZeroSSL 的替代方案——我不知道有任何其他公司会为 IP 地址颁发免费证书，但有一些解决方法不需要购买域。您可以轻松利用 https://sslip.io/ 、 https://nip.io/ 或类似服务的子域。无需设置 - 例如，如果您的 IP 是 1.1.1.1，DNS 名称 1-1-1-1.sslip.io 和 1-1-1-1.nip.io 将自动解析到它。因此，您可以使用 LetsEncrypt 轻松获取这些子域之一的 SSL 证书。这些应该也适用于 IPV6 IP，但特定于 IPV6 还有https://has-a.name/，其工作方式类似

【讨论】：