Кто-нибудь, пожалуйста, подтвердите (или еще лучше скажите, почему я могу достичь следующего, если это вообще возможно) мое понимание / проблема
Я использовать Microsoft CA (присоединение к домену) из того, что я прочитал здесь и в других сообщениях в блогах. Я не могу использовать ограничения имен для ограничения выдачи сертификатов, когда доменное имя, которое я хочу ограничить, появляется только в общем имени (например, CN =) часть общего поля имени субъекта.
например
позволяет сказать, что я хочу ограничить выдачу любого сертификата для MyDomain.com
, если у меня есть запрос на подпись сертификата, который включает имя субъекта
CN = www.MyDomain .com, OU = IT, O = MyOrg, L = Poole, S = Dorset, C = GB
Также нет альтернативных имен субъектов в запросе на подпись сертификата вообще.
хотя в моем сертификате CA в разделе DNS (исключение) есть ограничения на имя, например
DNS = .MyDomain.com DNS = MyDomain.com
ЦС все равно будет выдавать сертификат.
Если я затем добавлю что-то вроде www2.MyDomain.com в SAN запроса на подпись сертификата, CA отклонит запрос, как ожидалось
Итак, из того, что я видел и читал, ограничения имен не применяются к CN = (общее имя) элемент Subject Name?
Поскольку веб-серверы SSL / TLS будут смотреть на CN = на предмет совпадения имени домена (если нет SAN), чтобы принять сертификат, похоже, что для этого нет решения, если только Я чего-то упускаю?
Буду благодарен за любой ввод
спасибо __ AAnotherUser
Из RFC 5280 :
Приложения, соответствующие этому профилю, ДОЛЖНЫ иметь возможность обрабатывать имя ограничения, которые накладываются на форму имени каталога и ДОЛЖЕН иметь возможность обрабатывать ограничения имени, которые налагаются на rfc822Name, uniformResourceIdentifier, dNSName и iPAddress name формы.
Ограничения на имя каталога (частью которого является CN) и на dNSName (которое является subjectAltName) - это два разных типа ограничений, оба из которых должны присутствовать в сертификате CA.
Btw : Сертификаты сервера без SAN больше не разрешены CA / Форумом браузеров.