CN和SAN領域互相恭維所以我相應的設置,以CN和server.domain.local SAN中我有DNS:server.domain.tld
否(但那個帖子現在有點老了)。
放置DNS名稱是IETF和CA /瀏覽器論壇棄用的通用名稱(CN)。您應該將所有DNS名稱放在主題備用名稱(SAN)中。自從向用戶顯示「例子LLP」之後,請使用CN作爲友好名稱。
根據CA /瀏覽器基準要求(BR),CN中的DNS名稱也必須存在於SAN中。請參閱CA/B BR, Section 9.2。
鉻至少,我可以瀏覽到server.domain.tld(SAN條目)沒有錯誤,但我在server.domain.local得到一個共同的名字不匹配錯誤(CN)
Chrome正確拒絕證書如果server.domain.local
是存在於CN中,但是不是存在於SAN中。如果兩者都不存在,則它違反了CA/B BR。
我應該有兩個server.domain.local和server.domain.tld在SAN領域
是,將SAN中的兩個DNS名稱。不要在CN中放入DNS名稱。使用CN作爲友好名稱。
爲了完整起見,CA/B代表的CA和瀏覽器。他們有自己的小封閉俱樂部,他們有自己的一套頒發證書的政策。不要指望瀏覽器按照IETF文檔中的規定來執行操作。
如果您正在驗證CA/B成員CA發佈的野外使用的X509證書,那麼您應該使用CA/B BR而不是IETF文檔進行驗證。
來源
2014-09-23 05:45:52
jww
我相信你的Cuz這就是我遇到IRL但有關RFC 5280(第4.1.2.6),其他答案的報價是什麼? – JonoCoetzee 2014-09-22 09:50:49
RFC5280僅適用於PKI結構。 RFC2818和RFC5216改爲在特定應用協議的上下文中處理證書驗證。例如,RFC5280明確沒有涉及通配符的處理,而RFC2818則是。是的,這一切都很混亂:( – 2014-09-22 10:31:19
你是不是指RFC 6125而不是5216? – Bruno 2014-09-22 13:01:27