SSL 证书服务器名称解析如何工作？

解码 SSL 证书服务器名称解析

了解 SSL 证书解析对于建立安全通信至关重要。让我们探讨您的问题并提供全面的答案。

SSL 证书的服务器名称解析

RFC 2818 和 RFC 6125 定义 SSL 证书的主机名验证。如果缺少“dNSName”主题备用名称 (SAN)，则使用通用名称 (CN) 字段。然而，CN 的使用已被弃用，而 SAN 是首选。

浏览器行为与 Java 机制

浏览器通常以不同的方式处理基于 CN 的服务器名称，即使在以下情况下也允许连接CN 与域不匹配。另一方面，Java 严格遵守 RFC，仅接受 SAN 或匹配的 CN。

使用 Keytool 添加备用名称

Java 的 keytool 现在包括“- ext”选项，用于将 SAN 添加到证书。使用“-ext san=dns:www.example.com”或“-ext san=ip:10.0.0.1”包含所需的备用名称。

OpenSSL 作为替代

如果您不想使用 keytool，可以使用 OpenSSL 来实现此目的。通过修改 openssl.cnf 或设置环境变量“OPENSSL_CONF”，您可以配置 OpenSSL 以在证书中请求 SAN。

OpenSSL 的示例配置

在 openssl 中。 cnf，在“[req]”和“[v3_req]”下添加以下内容部分：

[req]
req_extensions = v3_req

[ v3_req ]
subjectAltName=IP:10.0.0.1
# or subjectAltName=DNS:www.example.com

替代环境变量技巧

或者，您可以设置环境变量来指定 SAN。详情请参阅http://www.crsr.net/Notes/SSL.html。

以上是SSL 证书服务器名称解析如何工作？的详细内容。更多信息请关注PHP中文网其他相关文章！