IP-Adressen in Zertifikaten
IP-Adressen dürfen nicht in das Zertifikat des Password Secure Application Servers eingetragen werden.
Auch wenn es technisch möglich wäre, lehnen moderne Webbrowser Zertifikate mit IP-Adressen zunehmend ab.
Begründung
Volatilität von IPs: IP-Adressen können sich ändern (z. B. durch DHCP, Loadbalancer oder Netzwerkkonfigurationen).
Zuverlässigkeit von Hostnamen: Zertifikate sind darauf ausgelegt, Hostnamen (DNS-Einträge) zu validieren, da diese konsistente und auflösbare Identifikatoren darstellen.
Daher sind ausschließlich DNS-Namen als Einträge in Zertifikaten zulässig.
Gültige Zertifikatskonfiguration
Common Name (CN)
server-passwordsecure.myorg.internSubject Alternative Name (SAN)
Die SAN-Erweiterung muss mindestens den folgenden Eintrag enthalten:
DNS: server-passwordsecure.myorg.intern
(zwingend erforderlich – der erste SAN-Eintrag muss identisch mit dem CN sein)
Optionale zusätzliche SAN-Einträge können ergänzt werden, z. B.:
DNS: server-passwordsecureDNS: passwordsecure…