除了使用 CN 进行服务器识别外,我们最近还开始使用 subjectAltName 创建证书,我注意到浏览器中的 CN 识别问题
在我们的情况下
如果我尝试使用 CN 访问该站点,则浏览器会抱怨证书有错误。
使用 SAN 工作正常。
我进一步检查了这一点和RFC 6125,第 6.4.4 节指出 -
如上所述,如果呈现的标识符包括 DNS-ID、SRV-ID、URI-ID 或客户端支持的任何特定于应用程序的标识符类型,则客户端不得寻求 CN-ID 参考标识符的匹配项。因此,当且仅当呈现的标识符不包括 DNS-ID、SRV-ID、URI-ID 或客户端支持的任何特定于应用程序的标识符类型时,客户端可以作为最后的手段检查字符串表单匹配主题字段(即 CN-ID)的公共名称字段中的完全限定 DNS 域名的表单。
基于此,我得出结论,CN 和 SAN 是 -
这样对吗?
编辑:我知道这是特定于浏览器的,我正在寻找有关现代浏览器(IE11、Edge、Chrome、Firefox 等)的指导。