我已爲內部服務器生成證書,該證書也可從外部訪問。根據this SO回答CN和SAN領域互補恭維,因此我將CN設置爲server.domain.local,並在SAN中擁有DNS:server.domain.tld使用SAN證書時無效的公用名稱
但是,至少Chrome至少,我可以瀏覽到server.domain.tld(SAN條目),但沒有錯誤,但我得到一個共同的名稱不匹配錯誤server.domain.local(CN)
這是一個實施錯誤在NSS在Chrome或我做了有問題?我應該在SAN字段中同時擁有server.domain.local和server.domain.tld嗎?
..在CN和SAN領域互相恭維..
這只是在一般情況下,PKI真實的,但具體的協議有不同的行爲。在HTTPS檢查證書相關的RFC是RFC2818(或更高版本RFC6125),其中規定:
If a subjectAltName extension of type dNSName is present, that MUST
be used as the identity. Otherwise, the (most specific) Common Name
field in the Subject field of the certificate MUST be used. Although
the use of the Common Name is existing practice, it is deprecated and
Certification Authorities are encouraged to use the dNSName instead.
這意味着,如果你有一個SAN部分,必須包含所有的名字,因爲CN不會被選中。
CN和SAN領域互相恭維所以我相應的設置,以CN和server.domain.local SAN中我有DNS:server.domain.tld
否(但那個帖子現在有點老了)。
放置DNS名稱是IETF和CA /瀏覽器論壇棄用的通用名稱(CN)。您應該將所有DNS名稱放在主題備用名稱(SAN)中。自從向用戶顯示「例子LLP」之後,請使用CN作爲友好名稱。
根據CA /瀏覽器基準要求(BR),CN中的DNS名稱也必須存在於SAN中。請參閱CA/B BR, Section 9.2。
鉻至少,我可以瀏覽到server.domain.tld(SAN條目)沒有錯誤,但我在server.domain.local得到一個共同的名字不匹配錯誤(CN)
Chrome正確拒絕證書如果server.domain.local是存在於CN中,但是不是存在於SAN中。如果兩者都不存在,則它違反了CA/B BR。
我應該有兩個server.domain.local和server.domain.tld在SAN領域
是,將SAN中的兩個DNS名稱。不要在CN中放入DNS名稱。使用CN作爲友好名稱。
爲了完整起見,CA/B代表的CA和瀏覽器。他們有自己的小封閉俱樂部,他們有自己的一套頒發證書的政策。不要指望瀏覽器按照IETF文檔中的規定來執行操作。
如果您正在驗證CA/B成員CA發佈的野外使用的X509證書,那麼您應該使用CA/B BR而不是IETF文檔進行驗證。
原來的問題已經回答了,但我想反駁其中一個答案中的一點。
CA/B BR不支持使用CN作爲友好名稱,同時對我有吸引力並且明智。 在之前版本的CA/B BR中,這是第9.2.2節,但似乎最近已經移動。 https://cabforum.org/wp-content/uploads/CAB-Forum-BR-1.3.0.pdf
7.1.4.2.2。主題Distinguished Name Fields
a。證書字段:主題:commonName(OID 2.5.4.3) 必需/可選:已棄用(阻止但不禁止)
內容:如果存在,該字段必須包含一個IP地址或完全限定的域名證書的subjectAltName擴展中包含的值之一。
尊敬,--obivon
我相信你的Cuz這就是我遇到IRL但有關RFC 5280(第4.1.2.6),其他答案的報價是什麼? – JonoCoetzee 2014-09-22 09:50:49
RFC5280僅適用於PKI結構。 RFC2818和RFC5216改爲在特定應用協議的上下文中處理證書驗證。例如,RFC5280明確沒有涉及通配符的處理,而RFC2818則是。是的,這一切都很混亂:( – 2014-09-22 10:31:19
你是不是指RFC 6125而不是5216? – Bruno 2014-09-22 13:01:27