SSL 证书是否需要具有相同的域名和通用名称?

信息安全 tls 证书 证书颁发机构
2021-08-20 07:31:38

我有一个 SSL 证书,其中CN是“ abc.xyz.com ”。但是共享给第 3 方组织以访问我们服务器上的 Web 应用程序的URL是:“ def.stu.com/what-ever ”。

当这种安排长期适用于某些第 3 方组织时,尝试访问 URL 的新组织会遇到 SSL 异常。根据他们的说法,URL 必须与 Common Name 一致。类似于:abc.xyz.com/what-ever。

问题:

拥有像 abc.xyz.com/what-ever 这样的 URL 真的是强制性的吗? 如果是,那么到目前为止,其他集成商如何能够成功调用它?

注意:互联网上的大多数搜索都同意 URL 应基于 Common Name 的观点。然后我还发现,我们可以在一个 Common Name 下拥有多个域名(Subject Alternative Name [SAN] 概念)。但是我没有清晰的图像。我可以使用任何工具检查证书是否使用 SAN。我来自开发团队,安全知识有限。将非常感谢对 SSL Cert 的上述行为或指向它的一些指针的具体回答。

3个回答

URL 的域必须与证书的主题相匹配。在以前,这可以通过将域设置为证书的 CN 或将域设置为主题备用名称。对 CN 的支持已被弃用很长时间(至少 17 年,参见 RFC 2818),Chrome 浏览器甚至不再查看 CN,因此今天您需要将 URL 的域作为主题替代名称。请注意,可以有多个主题备用名称,因此证书可用于多个域。

您的 Web 浏览器将要求 URL 中的主机名与证书中的内容相匹配。

它应该首先检查备用主题名称列表(如果存在扩展名)以查看是否有任何条目匹配,或者如果没有 SAN 扩展名,则检查主题的公用名字段。

根据他们的说法,URL 必须与 Common Name 一致。类似的东西:abc.xyz.com/what-ever

他们错了。SSL/TLS 证书中使用的专有名称只是一个主机名。它从不包含 URL 的路径组件——在 CN 中包含该文本的证书将是无效的。

其它你可能感兴趣的问题
上一篇http基本身份验证密码是否应该存储在服务器端散列? 下一篇银行卡密码的离线暴力破解