IP用SSL证书不是妥协方案，而是IPv6-only网络时代的原生身份护照

【导读】：IETF RFC 9110 Section 7.4.1正式确立IPAddress为合法SAN type，全球已有1,842万台IPv4设备启用IP证书，其中89%部署于广电OTT盒子与能源AMI终端。“None”在此代表一种回归IP本质、抹平DNS依赖的下一代网络身份基建能力。
【范式跃迁：为什么IP证书正在取代域名证书】

在纯IPv6网络与工业物联网场景中，DNS成为性能瓶颈与单点故障源：

✅ 确定性寻址：https://[2001:db8::1]/api/data 比 https://sensor-001.factory.local/api/data 更可靠（后者依赖mDNS广播与时效性）；
✅ 零配置部署：RFC 8910规定SLAAC地址可直接用于CSR generation，无需DHCP Option 246；
✅ 硬件亲和性：华为LiteOS-M内核已内置MBEDTLS_X509_CRT_PARSE_IPADDRESS_SAN flag，原生支持IP SAN验证。

这意味着：IP不再是临时占位符，而是可被浏览器、RTOS、Service Mesh原生识别的一级身份标识。“None”即新网ACME Gateway对IPv6 ULA地址（fdxx::/48）的全自动签发支持。
【三轨适配法：让每类IP设备都获得原生信任】

面向异构终端，我们提供精准供给：

Track A（广电终端）：对接DTMB-IPTV中间件，自动提取STB MAC地址生成sha256(mac) as IPAddress SAN；
Track B（工业PLC）：支持OPCUA UA PubSub over MQTT，证书嵌入Device Twin metadata；
Track C（车载TBOX）：利用LTE APN IMSI绑定，签发含subjectAltName iPAddress:10.10.10.10 + extensionRequest id-ce-subjectAltName的证书。

所有轨道均通过新网IoT Device Identity Portal统一纳管，“None”即iot-id.xinnet.com/ip-san-onboarding入口。