我只是想知道通配符 SSL 证书是否一定需要有一个通用名称,其中包含需要应用 SSL 证书的站点的域名。
例如,对于以下情况:
域名:testdomain.com
子站点:
我是否一定需要通配符证书才能有一个通用名称*.testdomain.com?
Dan*_*ola 40
是的,对于通配符证书,您的通用名称应该是 *.yourdomain.com。
基本上,通用名称说明您的证书适用于哪个域,因此它必须指定实际域。
澄清:它不应该“包含”站点的域名,它应该是站点的域。我猜你的问题没有区别,我只是想澄清一下,以防万一对域应该是什么或证书的用途有误解。
实际上,您应该使用证书dnsName部分中的条目subjectAltName来指定 FQDN,而不是subject. subject自 2000 年发布 RFC 2818 以来,为此目的使用已被弃用。引用第 3.1 节:
如果存在 dNSName 类型的 subjectAltName 扩展,则必须将其用作身份。否则,必须使用证书主题字段中的(最具体的)通用名称字段。尽管使用通用名称是现有做法,但它已被弃用,并且鼓励证书颁发机构改用 dNSName。
的内容与subject服务器证书验证上下文相关的唯一情况是 中不dnsName包含subjectAltName,这种情况在撰写本文时已被弃用 17 年。
不推荐使用通配符证书,如RFC 6125 的第 7.2 节所示:
本文档规定,通配符“*”不应包含在所提供的标识符中,但可以由应用程序客户端检查(主要是为了与已部署的基础设施向后兼容)。
对多个服务使用相同的私钥通常被认为是不好的做法。如果其中一项服务受到损害,来自其他服务的通信将面临风险,您必须更换所有服务的密钥(和证书)。
我建议 RFC 6125 作为有关此问题的良好信息来源。
| 归档时间: |
|
| 查看次数: |
38321 次 |
| 最近记录: |