Сертификат subjectAlternativeName с подстановочным знаком IP

Question

Мне нужно создать сертификат, который будет использоваться в качестве сервера TLS на любом случайном хосте в изолированной локальной сети. Могу ли я использовать в поле subjectAlternativeName некоторый подстановочный знак для IP вместо доменов, таких как 10.0.0.255 или 10.0.0.0/24 для этой цели?

P.S. любой хост в локальной сети может быть клиентом для распределенной сети серверов, которые могут быть запущены на любом хосте и подключены к жидкостной динамической жадности за балансиром нагрузки, которые управляют соединениями в этой складчатой ​​сети)

Answer 1

Вот что RFC 2818 (при условии, что вы говорите о HTTPS) должен сказать об этом:

In some cases, the URI is specified as an IP address rather than a 
hostname. In this case, the iPAddress subjectAltName must be present 
in the certificate and must exactly match the IP in the URI. 

Это исключает использование подстановочных или подсети нотации.

Недавний RFC 6125, который направлен на согласование идентификации по другим протоколам, явно исключает IP-адреса из его области.

Как сказано, вы можете обнаружить, что есть некоторые несоответствующие клиенты с их собственной интерпретацией (есть некоторые, которые позволяют использовать IP-адрес в CN DN объекта). Я бы не рекомендовал рассчитывать на это в целом.

Кажется немного удивительным, что вы хотите использовать TLS вообще на том, что вы называете «изолированной ЛВС». Кроме того, если вы контролируете эту ЛВС, вы можете назначить имена своим машинам и использовать совпадение имени хоста.