内部名称

相关警告

"证书的公用名或主体替代名称包含内部名称。"

问题

行业标准禁止证书颁发机构 (CA) 向内部名称颁发证书(请参阅 SSL 证书的内部服务器名称)。内部名称是作为专用网络一部分的 IP 地址或域(请参阅 RFC 2606)。无法对内部名称完成验证,因为无法进行外部验证。

内部名称示例

  • 具有以下任意非公共域后缀的服务器名称:
    • .test
    • .example
    • .invalid
    • .localhost
    • .local
    • .internal
  • 任何不具有公共域(例如 NetBIOS 名称或短主机名)的名称,例如,Web1、ExchCAS1 或 Frodo
  • 任何在 RFC 1918 范围内的 IPv4 地址
  • 任何在 RFC 4193 范围内的 IPv6 地址

此外,非唯一内部名称发生恶意不良行为的风险过高。例如,CA 可以向公司颁发适用于 https://mail/ 的公共可信证书。由于该名称不是唯一名称,因此任何其他人都可以为 https://mail/ 获取证书。

解决方案

如果您的服务器管理员使用内部名称,您需要重新配置这些服务器以使用公开名称,或者改为使用内部证书颁发机构颁发的证书。所有需要使用公共可信证书的内部连接都必须通过公开且可验证的名称进行(不管这些服务是否可以公开访问)。

根据您的环境中的应用程序,您或可重新配置应用程序,使其不需要内部名称。