Wie löst Java Servernamen in SSL-Zertifikaten auf?

Grundlegendes zur Namensauflösung von SSL-Zertifikatservern

Im Bereich der sicheren Webkommunikation spielen SSL-Zertifikate eine wichtige Rolle bei der Überprüfung der Identität von Servern . Der Servernamensauflösungsprozess bestimmt, wie in SSL-Zertifikaten angegebene Namen verwendet werden, um Vertrauen in HTTPS-Verbindungen herzustellen.

Wie werden SSL-Zertifikatservernamen aufgelöst?

RFC 2818 und Sein Nachfolger RFC 6125 definiert die Richtlinien für die Überprüfung von Servernamen. Diese Standards legen Folgendes fest:

• Wenn das Zertifikat eine „subjectAltName“-Erweiterung mit dem Typ „dNSName“ enthält, muss diese als Identität verwendet werden.
• Andernfalls ist der Common Name ( CN) im Abschnitt „Betreff“ des Zertifikats wird verwendet.

SSL-Zertifikatsüberprüfung von Java Mechanismus

Der SSL-Mechanismus von Java folgt der Erweiterungspriorität subjectAltName. Wenn ein Zertifikat diese Erweiterung enthält, verwendet Java den angegebenen Domänennamen oder die angegebene IP-Adresse als Identität für die Überprüfung. Andernfalls wird wieder das CN-Feld verwendet. Dieses Verhalten steht im Einklang mit den empfohlenen Best Practices in RFC 2818.

Einbindung alternativer Namen mit Keytool

Ja, es ist möglich, einem SSL alternative Namen hinzuzufügen Zertifikat mit Keytool. Seit Java 7 hat keytool die Option „-ext“ eingeführt, mit der Sie einen Subject Alternative Name (SAN) in Ihr Zertifikat aufnehmen können. Sie können das SAN je nach Ihren Anforderungen als „dns:www.example.com“ oder „ip:10.0.0.1“ angeben.

OpenSSL als Alternative

Wenn Sie mit der Verwendung von keytool nicht vertraut sind, ist OpenSSL eine hervorragende Option zum Generieren von SSL-Zertifikaten mit SANs. Durch Ändern der Konfigurationsdatei „openssl.cnf“ können Sie die Erweiterung „subjectAltName“ mithilfe der Abschnitte „[req]“ und „[v3_req]“ angeben. Darüber hinaus können Sie die Umgebungsvariable OPENSSL_CONF verwenden, um einen expliziten Speicherort für die Konfigurationsdatei anzugeben.

Um Ihr Problem zu lösen, müssen Sie überprüfen, ob Ihre Zertifikate die richtigen Servernamen enthalten. Wenn sie nur IP-Adressen im CN-Feld enthalten, akzeptieren Browser sie möglicherweise, Java vertraut ihnen jedoch aufgrund des Fehlens von SANs nicht. Durch das Hinzufügen von SANs zu Ihren Zertifikaten mithilfe von Keytool oder OpenSSL können Sie sicherstellen, dass sowohl Browser als auch Java Ihre Servernamen korrekt erkennen.

Das obige ist der detaillierte Inhalt vonWie löst Java Servernamen in SSL-Zertifikaten auf?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!