SSL 证书服务器名称解析
在 SSL 证书中,服务器名称主要根据主题备用名称 (SAN) 字段进行解析。在大多数情况下,浏览器使用 SAN 来验证它们所连接的网站的身份。然而,基于 Java 的应用程序似乎有不同的行为,完全依赖 SAN 进行服务器名称验证。
为什么有区别?
RFC 2818 定义浏览器可以使用通用名称 (CN) 或 SAN 字段进行服务器名称验证。 RFC 6125 后来弃用了 CN,并建议专门使用 SAN。 Java 应用程序通常遵守 RFC 6125,而某些浏览器出于兼容性原因可能仍接受 CN。
使用 Keytool 添加备用名称
Keytool 允许将 SAN 添加到 SSL使用“-ext”选项的证书。可以使用以下命令添加备用名称:
-ext san=dns:www.example.com -ext san=ip:10.0.0.1
我可以使用 OpenSSL 代替吗?
是的,OpenSSL 也可以用于创建 SSL 证书SAN。为此,请按如下方式修改“openssl.cnf”配置文件:
[req] req_extensions = v3_req [ v3_req ] subjectAltName=IP:10.0.0.1 # or subjectAltName=DNS:www.example.com
或者,将环境变量 OPENSSL_CONF 设置为修改后的“openssl.cnf”文件的位置。
以上是Java 应用程序和浏览器在 SSL 服务器名称解析方面有何不同?的详细内容。更多信息请关注PHP中文网其他相关文章!
