我一直在搜索 RFC 5280、1034 和 1123,试图找出最大字符串长度是多少,但我找不到它。我想知道你们中是否有人碰巧知道。
对于那些了解 X509v3 证书的人,您知道可以在证书中包含主题备用名称 (SAN)。SAN 有多种类型:电子邮件地址、DNS 名称、目录名称等。
我将 DNSName 类型的 SAN 添加到我的证书中,但我无法弄清楚 DNSName 类型的 SAN 的最大长度是多少。
你们有人知道吗?
我有一个 ubuntu 服务器 (server01.example.com),其 IPv4 地址为 10.11.12.6,example.com 域的 DNS 服务器位于 10.11.12.2。
当我dig server01.example.com在 Windows 7 机器上使用 cygwin 时,我从 DNS 服务器得到了正确的答案。当我nslookup 10.11.12.6,我得到“server01.example.com”。当我nslookup server01.example.com得到正确的回应时。
当我ping使用服务器的 IP 地址时,我会收到响应。当我ping只是“server01”时,我会收到回复。
只有当我 ping 服务器的完全限定域名“server01.example.com”时,我才会得到“未知主机”。有谁知道会发生什么?
PS - 我的真实域名(显然)不是 example.com,但 IP 地址是真实的。
这是我的wireshark捕获nslookup server01.example.com:
53 25.194795 server01.example.com dc01.example.com DNS 83 Standard query PTR 2.12.11.10.in-addr.arpa
54 25.194899 dc01.example.com server01.example.com DNS 114 Standard query response PTR dc01.example.com
55 25.197525 server01.example.com dc01.example.com DNS 92 Standard query A rabbit.example.com.example.com
56 …我在 linux 上使用 openssl 生成证书签名请求 (CSR),该请求将提交给已配置为存档私钥的 Windows 证书服务证书颁发机构。
不幸的是,我无法弄清楚如何使用 openssl 生成包含私钥的 CSR,以便 CA 可以颁发我的证书并存档私钥。
编辑:基于此Microsoft 文档,看起来我正在尝试使用 CMC 格式生成 CSR,这允许私钥与存档请求“一起”。
从该链接:
证书请求使用的格式之一是证书请求的 CMC 格式,它支持可选的加密数据负载。这是使用私钥存档的证书请求所需的格式。从技术上讲,任何支持 CMC 协议的客户端都可以向企业 CA 注册并请求由 CA 存档私钥。
更多发现:
这两个链接(一、二)的组合是您使用 Microsoft 的 certreq 实用程序的方式。我已经测试过它并且有效。如果可能的话,我想用 openssl 来做到这一点。