[解決済み] 共通名(CN)と件名代替名(SAN)はどのように連携するのですか?
質問
SSL証明書のサブジェクト代替名(SAN)プロパティに2つのDNS名が含まれていると仮定します。
-
domain.tld
-
host.domain.tld
が、コモンネーム(CN)はどちらか一方にしか設定されていません。
CN=domain.tld
.
- この設定には特別な意味や、両方の CN を設定することの [不]利点がありますか?
-
もう一方のCNを設定した場合、サーバーサイドでは何が起こるのでしょうか。
host.domain.tld
が要求されている場合、サーバーサイドはどうなるのでしょうか?
具体的には、どのように OpenSSL 0.9.8b+ を使用しています。 は与えられたシナリオをどのように扱うのでしょうか?
どのように解決するのですか?
これは実装によりますが、一般的なルールとして、ドメインはすべてのSANとコモンネームを照合します。そこでドメインが見つかれば、その証明書は接続に問題ありません。
RFC 5280 4.1.2.6項では、「サブジェクト名は、サブジェクトフィールドおよび/またはsubjectAltName拡張子で伝達してもよい(MAY)」と述べています。これは、ドメイン名が、証明書のSubjectAltName拡張子とSubjectプロパティ(つまり、コモンネームパラメータ)の両方と照合されなければならないことを意味します。この2箇所は互いに補完し合うものであり、重複するものではありません。そして、SubjectAltName は、以下のような追加の名前を入れるのに適切な場所です。 www .domain.com、または www2 .ドメイン.com
更新情報:以下の通り RFC 6125 によると、バリデータはまずSANをチェックしなければならず、SANが存在する場合はCNをチェックすべきではない。RFC 6125は比較的最近のものであり、CNにメインドメイン名、SANに代替ドメイン名を含む証明書や証明書を発行するCAがまだ存在することに注意してください。つまり、SAN が存在する場合、CN を検証から除外することで、そうでなければ有効な証明書を拒否することができるのです。
関連
-
[解決済み] HTTP から HTTPS への Nginx のリダイレクトが多すぎる
-
[解決済み] Curl CURL (51) SSL エラーを修正: 代替となる証明書のサブジェクト名が一致しません。
-
[解決済み] クライアント証明書を使用しようとしたときのsslv3 alert handshakeの失敗の解決法
-
[解決済み] 不正な証明書でhttpsリクエストを行うには?
-
[解決済み] SSL付きWebSocket
-
[解決済み] 自己署名証明書を持つサービスワーカーを使用できますか?
-
[解決済み] .cerとpfxの違いは何ですか?
-
[解決済み] Amazon S3静的ウェブサイトのHTTPS化【終了しました
-
[解決済み] HTTPS/Web Sockets Secureで動作するWebpack Dev Server
-
[解決済み] 自己署名CAと自己署名証明書の違いについて【終了しました
最新
-
nginxです。[emerg] 0.0.0.0:80 への bind() に失敗しました (98: アドレスは既に使用中です)
-
htmlページでギリシャ文字を使うには
-
ピュアhtml+cssでの要素読み込み効果
-
純粋なhtml + cssで五輪を実現するサンプルコード
-
ナビゲーションバー・ドロップダウンメニューのHTML+CSSサンプルコード
-
タイピング効果を実現するピュアhtml+css
-
htmlの選択ボックスのプレースホルダー作成に関する質問
-
html css3 伸縮しない 画像表示効果
-
トップナビゲーションバーメニュー作成用HTML+CSS
-
html+css 実装 サイバーパンク風ボタン
おすすめ
-
[解決済み] Amazon S3でのSSL化の強制
-
[解決済み] wget ssl alert ハンドシェイク失敗
-
[解決済み] OpenSSLを使用して自己署名入りSSL証明書を生成する方法を教えてください。
-
[解決済み] Letsencryptが既存の証明書にドメインを追加する【非公開
-
[解決済み] SSL付きWebSocket
-
[解決済み] OpenSSLを使用してSubjectAltName付きの自己署名証明書を生成するには?[クローズド]
-
[解決済み] DockerコンテナSSL証明書
-
[解決済み] SSL証明書に使用するRSA鍵の長さを教えてください。
-
[解決済み] HTTPS化されていないリソースを探す
-
[解決済み] 自己署名CAと自己署名証明書の違いについて【終了しました