了解SSL 憑證伺服器名稱解析
SSL 憑證伺服器名稱解析在確保HTTPS 連線中的安全通訊方面發揮著至關重要的作用。以下是其工作原理以及如何使用keytool 解決備用名稱的詳細資訊:
如何解析SSL 憑證伺服器名稱
當客戶端建立HTTPS 連線時,它會向伺服器發送伺服器名稱指示(SNI) 擴展,指定要連接的主機名稱。然後,伺服器透過公用名稱 (CN) 欄位或主題備用名稱 (SAN) 擴充功能提供與所提供的主機名稱相符的 SSL 憑證。
瀏覽器行為和 Java 的驗證機制
瀏覽器通常使用憑證的 CN 欄位進行主機名稱驗證。然而,Java 的驗證機制主要考慮 SAN 擴展,並且可能會拒絕沒有有效 SAN 的憑證。這種差異是由上述定義主機名稱驗證標準的 RFC 所造成的。
使用 Keytool 新增備用名稱
keytool 在 Java 7 及更高版本中允許您將 SAN 新增至使用 -ext 選項的 SSL 憑證。 SAN 的語法為 -ext san=dns:www.example.com 或 -ext san=ip:10.0.0.1。
OpenSSL 作為替代方案
OpenSSL也可用於請求 SAN。在 openssl.cnf 設定檔中,新增下列選項:
[req] req_extensions = v3_req [ v3_req ] subjectAltName=IP:10.0.0.1 # or subjectAltName=DNS:www.example.com
您也可以設定環境變數以在執行時指定 SAN。請參閱 CRSR.net 文章以了解更多詳情。
以上是SSL 憑證伺服器名稱解析如何運作以及如何新增備用名稱?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
