Menyahkodkan Resolusi Nama Pelayan Sijil SSL
Memahami resolusi sijil SSL adalah penting untuk mewujudkan komunikasi yang selamat. Mari terokai soalan anda dan berikan jawapan yang komprehensif.
Resolusi Nama Pelayan untuk Sijil SSL
RFC 2818 dan RFC 6125 mentakrifkan pengesahan nama hos untuk sijil SSL. Sekiranya tiada Nama Alternatif Subjek (SAN) "dNSName", medan Common Name (CN) digunakan. Walau bagaimanapun, penggunaan CN telah ditamatkan dan SAN lebih diutamakan.
Gelagat Penyemak Imbas vs. Mekanisme Java
Pelayar sering mengendalikan nama pelayan berasaskan CN secara berbeza, membenarkan sambungan walaupun semasa CN tidak sepadan dengan domain. Java, sebaliknya, mematuhi RFC dengan ketat, hanya menerima SAN atau CN yang sepadan.
Menambah Nama Alternatif Menggunakan Keytool
Alat kunci Java kini termasuk "- ext" untuk menambah SAN pada sijil. Gunakan "-ext san=dns:www.example.com" atau "-ext san=ip:10.0.0.1" untuk memasukkan nama alternatif yang diingini.
OpenSSL sebagai Alternatif
Jika anda memilih untuk tidak menggunakan alat kunci, OpenSSL boleh digunakan untuk tujuan ini. Dengan mengubah suai openssl.cnf atau menetapkan pembolehubah persekitaran "OPENSSL_CONF", anda boleh mengkonfigurasi OpenSSL untuk meminta SAN dalam sijil.
Contoh Konfigurasi untuk OpenSSL
Dalam openssl. cnf, tambah yang berikut di bawah "[req]" dan "[v3_req]" bahagian:
[req] req_extensions = v3_req [ v3_req ] subjectAltName=IP:10.0.0.1 # or subjectAltName=DNS:www.example.com
Helah Pembolehubah Persekitaran Alternatif
Sebagai alternatif, anda boleh menetapkan pembolehubah persekitaran untuk menentukan SAN. Rujuk http://www.crsr.net/Notes/SSL.html untuk butiran.
Atas ialah kandungan terperinci Bagaimanakah Resolusi Nama Pelayan Sijil SSL Berfungsi?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!