SSL - Wie funktionieren gemeinsame Namen (CN) und alternative Themennamen (SAN) zusammen?
Vorausgesetzt, die Subject Alternative Name (SAN) - Eigenschaft des ein SSL-Zertifikat enthält zwei DNS-Namen
domain.tld
host.domain.tld
aber der Common Name (CN) festgelegt ist, um nur einen der beiden: CN=domain.tld
.
- Hat diese Einrichtung eine Besondere Bedeutung, oder jede [dis]Vorteile gegenüber der Einstellung sowohl ZNS?
- Was passiert auf server-Seite, wenn der andere, der
host.domain.tld
wird beantragt?
EDIT:
Als vor kurzem gelernt, von Eugene die Antwort, dass das Verhalten unterscheidet sich von der Umsetzung, ich will mehr spezifisch: wie funktioniert OpenSSL 0.9.8 b+ Griff gegebenen Szenario?
InformationsquelleAutor der Frage Jürgen Thelen | 2011-05-09
Du musst angemeldet sein, um einen Kommentar abzugeben.
Dies hängt von der Umsetzung, aber die Allgemeine Regel ist, dass die Domäne überprüft, dass alle SANs und der gemeinsame name. Ist die domain gefunden, dann wird das Zertifikat ist ok, für den Anschluss.
RFC 5280Abschnitt 4.1.2.6 sagt "Das Thema Namen KANN durchgeführt werden, in das Feld Betreff und/oder die subjectAltName-Erweiterung". Dies bedeutet, dass der domain-name muss überprüft werden, sowohl gegen die SubjectAltName-Erweiterung und Subject-Eigenschaft (nämlich, es ist common name-parameter) des Zertifikats. Diese beiden Orte gegenseitig ergänzen und nicht duplizieren. Und SubjectAltName ist eine richtige Ort, um weitere Namen, wie www.domain.com oder www2.domain.com
Update: wie pro RFC 6125veröffentlicht in '2011 der validator überprüfen müssen, SAN zuerst, und wenn die SAN vorhanden ist, dann CN, sollten nicht geprüft werden. Beachten Sie, dass die RFC 6125 ist relativ neu und gibt es noch Zertifikate und CAs, die Zertifikate ausstellen, die die "Haupt -" domain-Namen im CN und alternative domain-Namen in SAN. I. e. durch den Ausschluss CN von Validierung, wenn SAN vorhanden ist, können Sie leugnen, etwas anderes gültiges Zertifikat.
InformationsquelleAutor der Antwort Eugene Mayevski 'Allied Bits
Werden, absolut korrekt sind, sollten Sie alle Namen in das SAN-Feld.
CN-Feld enthalten soll Betreff-Name ein domain-name, aber wenn der Netscape fanden heraus, dass dieses SSL-Sache, die Sie verpasst haben zu definieren, seine größte Markt.
Einfach gab es kein Zertifikat definierten Feld für die Server URL.
Diese gelöst wurde, setzen Sie die Domäne in das CN-Feld, und heutzutage ist die Verwendung von CN-Feld ist veraltet, aber immer noch weit verbreitet.
Die CN kann halt nur einer domain.
Den Allgemeinen Regeln für diese:
CN - setzen Sie hier Ihre Haupt-URL (für Kompatibilität)
SAN - setzen Sie alle Ihre domain hier, wiederholen Sie die CN, da die nicht im rechten Platz dort, aber es wird auch verwendet für das...
Wenn dir eine korrekte Implementierung, die Antworten für Ihre Fragen Folgendes:
Hat diese Einrichtung eine Besondere Bedeutung, oder jede [dis]Vorteile gegenüber der Einstellung sowohl ZNS?
Sie kann sowohl CNs, denn CN ist halt nur ein name.
Sie können mit 2 einfachen CN-Zertifikat anstelle eines CN+SAN-Zertifikat, aber du brauchst 2 IP-Adressen für diese.
Was passiert auf server-Seite, wenn der andere host.domain.tld, abgefragt?
Es ist egal, was passiert, auf der server-Seite.
Kurz:
Wenn ein browser-client eine Verbindung zu diesem server, dann sendet der browser verschlüsselt die Pakete, die verschlüsselt mit dem öffentlichen Schlüssel des Servers. Server entschlüsselt das Paket, und wenn der server wieder entschlüsseln kann, dann ist es verschlüsselt wurde für den server.
Der server weiß nichts von der client, bevor Sie entschlüsseln, weil nur die IP-Adresse wird nicht verschlüsselt durch die Verbindung. Dies ist, warum du 2 IPs für 2-Zertifikate. (Vergessen SNI, es ist zu viel XP gibt, auch jetzt noch.)
Auf der client-Seite die browser erhält die CN, dann der SAN, bis alle aktiviert sind.
Wenn einer der Namen passt für die Website, dann die URL-überprüfung erfolgte durch den browser.
(ich bin nicht reden über das Zertifikat-Verifizierung, natürlich sehr viel ocsp, crl, aia Anfrage und Antworten zu Reisen auf dem Netz jedes mal.)
InformationsquelleAutor der Antwort Viktor Varga
CABForum Baseline-Anforderungen
Sehe ich niemand erwähnt hat der Abschnitt in der Baseline-Anforderungen noch nicht. Ich glaube, Sie sind wichtig.
Q: SSL - Wie Gemeinsamen Namen (CN) und Subject Alternative Names (SAN) zusammen zu arbeiten?
A: überhaupt Nicht. Wenn es SANs, dann CN ignoriert werden kann. - Zumindest, wenn die software, die die Prüfung hält sich sehr strikt an die CABForum Grundlinie Anforderungen.
(Das bedeutet also, dass kann ich nicht beantworten "Bearbeiten", um Ihre Frage. Nur die ursprüngliche Frage.)
CABForum Baseline-Anforderungen, v. 1.2.5 (ab 2. April 2015), Seite 9-10:
EDIT: die Links von @Bruno ' s Kommentar
RFC 2818: HTTP Über TLS2000, Abschnitt 3.1: Server-Identität:
RFC 6125: Darstellung und Verifizierung von Domain-Basierten Application Service
Identität im Internet Public-Key-Infrastruktur Mit X. 509 (PKIX)
Zertifikate im Rahmen von Transport Layer Security (TLS), 2011, Abschnitt 6.4.4: die Überprüfung des Common Names:
InformationsquelleAutor der Antwort StackzOfZtuff