我已经为内部服务器生成了一个证书,该证书也可以从外部访问。根据this https://stackoverflow.com/a/5937270/918406所以回答 CN 和 SAN 字段相互补充,因此我将 CN 设置为 server.domain.local,在 SAN 中我有 DNS:server.domain.tld
但是,至少使用 Chrome,我可以浏览到 server.domain.tld(SAN 条目)而不会出现错误,但我在 server.domain.local (CN) 处收到常见名称不匹配错误
这是 Chrome 上 NSS 的实现错误还是我做错了什么?我应该在 SAN 字段中同时拥有 server.domain.local 和 server.domain.tld 吗?
.. CN 和 SAN 领域相辅相成..
这仅适用于一般 PKI 情况,但特定协议有不同的行为。检查 HTTPS 中证书的相关 RFC 是RFC2818 https://www.rfc-editor.org/rfc/rfc2818#page-4(或更高版本的 RFC6125)其中规定:
If a subjectAltName extension of type dNSName is present, that MUST
be used as the identity. Otherwise, the (most specific) Common Name
field in the Subject field of the certificate MUST be used. Although
the use of the Common Name is existing practice, it is deprecated and
Certification Authorities are encouraged to use the dNSName instead.
这意味着,如果您有一个 SAN 部分,它必须包含所有名称,因为不会检查 CN。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)