security - TLS 证书是否需要通用 SAN
问题描述
基于以下在使用 TLS 配置 Haproxy 的参考链接:
我是否需要在所有目标节点(或)上使用通用 SAN(主题备用名称)生成证书
拥有没有任何通用 SAN 的个人证书会起作用吗?
https://serversforhackers.com/c/using-ssl-certificates-with-haproxy
解决方案
查看https://security.stackexchange.com/questions/172626/chrome-requires-san-names-in-certificate-when-will-other-browsers-ie-follow:某些浏览器(Chrome)需要名称SAN 部分,因为他们现在完全无视 CN 领域
因此,即使对于一个域证书,您也需要 CN(因为这不是可选的)和 SAN 部分中的域。
它也在CAB 论坛的要求中,第 7.1.4.2.1 节:
证书字段:扩展名:subjectAltName
必填/可选:必填
内容:此扩展必须包含至少一个条目。每个条目必须是包含完全限定域名的 dNSName 或包含服务器 IP 地址的 iPAddress。CA 必须确认申请人控制了完全合格的域名或 IP 地址,或已被域名注册人或 IP 地址受让人授予使用它的权利(视情况而定)。允许使用通配符 FQDN。
请注意,其他一些浏览器(例如 Firefox)会退回到 CN,请参阅https://bugzilla.mozilla.org/show_bug.cgi?id=1245280并参阅https://hg.mozilla.org/mozilla的补丁开头-central/rev/dc40f46fae48用于security.pki.name_matching_mode
配置选项。
推荐阅读
- php - PHP preg_match_all 带有可选参数
- git - 由于 git branch (git-branch) 支持 --format 选项的哪个确切版本?
- javascript - html超链接下载文件问题
- c# - 等待操作符,执行直到任务返回
- java - 等待一些线程处于等待状态才能继续
- java - 如何加快 Spring 的 form:options 标签?
- angular - i18n 翻译为 Angular 4 引发错误 - 属性
- php - PHP HTML 使用输出缓冲区显示 img src - 以损坏的图像结束
- wagtail-search - Wagtail:使用后端数据库搜索页面和父级
- python - 如何防止 Django Admin 覆盖自定义字段的自定义小部件?