Primärer 'allgemeiner Name' in subjectAltName?

Question

ssl
x509

Primärer 'allgemeiner Name' in subjectAltName?

938

grawity 2011-01-07 в 06:12

Ich habe meine eigene X.509 CA. Wenn ich Zertifikate für Hosts ausstelle, falls vorhanden

Subject: .../CN=foobox.grawity.tld
und subjectAltName: DNS:foobox.local,

muss ich noch DNS:foobox.grawity.tldals subjectAltName angeben?

(Ich habe festgestellt, dass Chrome in Fehlermeldungen manchmal den ersten sAN anstelle des allgemeinen Namens des Betreffs verwendet.)

2

2 Antworten auf die Frage

1

0

Ram 2011-08-18 в 19:53

Normalerweise möchte ein Client eine exakte Übereinstimmung zwischen dem Hostnamen, von dem er annimmt, dass er ihn ansieht, und dem subjectDN.CommonName oder einem subjectAltName.

Accepted Answer · 2013-10-25 20:01:14

RFC 2818 sagt:

If a subjectAltName extension of type dNSName is present, that MUST be used as the identity. Otherwise, the (most specific) Common Name field in the Subject field of the certificate MUST be used. Although the use of the Common Name is existing practice, it is deprecated and Certification Authorities are encouraged to use the dNSName instead.

Das bedeutet, dass der CN ignoriert wird, wenn subjectAltName vorhanden ist. Daher müssen Sie foobox.grawity.tld als subjectAltName-Eintrag hinzufügen.

Primärer 'allgemeiner Name' in subjectAltName?

2 Antworten auf die Frage

Verwandte Probleme