security - TLS 证书是否需要通用 SAN

查看https://security.stackexchange.com/questions/172626/chrome-requires-san-names-in-certificate-when-will-other-browsers-ie-follow：某些浏览器（Chrome）需要名称SAN 部分，因为他们现在完全无视 CN 领域

因此，即使对于一个域证书，您也需要 CN（因为这不是可选的）和 SAN 部分中的域。

它也在CAB 论坛的要求中，第 7.1.4.2.1 节：

证书字段：扩展名：subjectAltName

必填/可选：必填

内容：此扩展必须包含至少一个条目。每个条目必须是包含完全限定域名的 dNSName 或包含服务器 IP 地址的 iPAddress。CA 必须确认申请人控制了完全合格的域名或 IP 地址，或已被域名注册人或 IP 地址受让人授予使用它的权利（视情况而定）。允许使用通配符 FQDN。

请注意，其他一些浏览器（例如 Firefox）会退回到 CN，请参阅https://bugzilla.mozilla.org/show_bug.cgi?id=1245280并参阅https://hg.mozilla.org/mozilla的补丁开头-central/rev/dc40f46fae48用于security.pki.name_matching_mode配置选项。