允许的最大SAN数(主题替代名称)

vai*_*gar 16 ssl-certificate x509

X.509中的主题替代名称是否有任何限制?还有SAN的规则吗?

Man*_*uel 13

1.还有SAN的规则吗?

RFC5280将主题备用名称指定为

SubjectAltName ::= GeneralNames
Run Code Online (Sandbox Code Playgroud)

通用名称是

GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName
Run Code Online (Sandbox Code Playgroud)

因此,请查看GeneralNamerfc中的"规则" (第37页).

2. X.509中的主题替代名称是否有限制?

附录B章中相同的rfc所述.ASN.1 :

The SIZE (1..MAX) construct constrains the sequence to have at least
one entry.  MAX indicates that the upper bound is unspecified
Run Code Online (Sandbox Code Playgroud)

  • *MAX表示上限未指定* - 此后的句子也很重要:**实现可以自由选择适合其环境的上限** (12认同)

fra*_*ale 5

主题备用名称扩展由RFC 5280第4.2.1.6节完全指定.

有关使用此扩展的一些规则或说明包括:

  • 主题名称可以在主题字段和/或subjectAltName扩展名中携带.请注意,如果dNSNamesubjectAltName扩展名中存在任何DNS名称,则应包含所有 DNS名称,包括主题名称字段中的名称.有关详细信息,请参阅RFC 2818.

  • 如果证书中包含的唯一主题标识是替代名称形式(例如,电子邮件地址),则主题专有名称必须为空(空序列),并且subjectAltName扩展必须存在并标记为关键.

  • 主题备用名称可以使用名称约束扩展名以与主题可分辨名称相同的方式进行约束.也就是说,CA证书上的名称约束扩展可以强制使用名称空间,在该名称空间中必须定位证书路径中后续证书中的所有主题名称(包括备用名称).

  • 如果subjectAltName扩展名存在,则序列必须包含至少一个条目.没有定义上限; 实现可以自由选择适合其环境的上限.

  • 与主题字段不同,符合条件的CA不得使用包含空GeneralName字段的subjectAltNames颁发证书.

  • RFC 5280不解决包含通配符的主题备用名称的语义.但是,RFC 6125声明"通配符'*'不应包含在呈现的标识符中"