內部名稱

相關警告

"憑證的一般名稱或主體別名包含內部名稱。"

問題

業界標準禁止憑證授權單位發行內部名稱的憑證 (請參閱用於內部伺服器名稱的 SSL 憑證)。內部名稱是私人網路的一部份的一個 IP 位址或網域 (請參閱 RFC 2606)。由於無法在外部確認,因此無法完成內部名稱的驗證。

內部名稱範例

  • 有任何這些非公用網域字尾的伺服器名稱:
    • .test
    • .example
    • .invalid
    • .localhost
    • .local
    • .internal
  • 沒有公用網域的任何名稱,例如 NetBIOS 名稱或簡寫的主機名稱,例如 Web1、ExchCAS1 或 Frodo
  • RFC 1918 範圍中的任何 IPv4 位址
  • RFC 4193 範圍中的任何 IPv6 位址

此外,非唯一的內部名稱會有太多惡意錯用的可能性。例如,CA 可以發行公用受信任的憑證給公司用於 https://mail/。由於此名稱不是唯一名稱,因此任何別人都可以取得用於 https://mail/ 的憑證。

解決方法

如果您是使用內部名稱的伺服器系統管理員,您需要重新設定伺服器以使用公用名稱,或切換到內部憑證授權單位發行的憑證。所有需要公開信任憑證的內部連線,都必須透過公開和可確認的名稱完成 (如果那些服務是公開可使用的則不用)。

視您的環境中的應用而定,您可能可以將應用程式重新設定為不需要內部名稱。