SSL - Wie funktionieren gemeinsame Namen (CN) und alternative Themennamen (SAN) zusammen?

Vorausgesetzt, die Subject Alternative Name (SAN) - Eigenschaft des ein SSL-Zertifikat enthält zwei DNS-Namen

  1. domain.tld
  2. host.domain.tld

aber der Common Name (CN) festgelegt ist, um nur einen der beiden: CN=domain.tld.

  • Hat diese Einrichtung eine Besondere Bedeutung, oder jede [dis]Vorteile gegenüber der Einstellung sowohl ZNS?
  • Was passiert auf server-Seite, wenn der andere, der host.domain.tld wird beantragt?

EDIT:

Als vor kurzem gelernt, von Eugene die Antwort, dass das Verhalten unterscheidet sich von der Umsetzung, ich will mehr spezifisch: wie funktioniert OpenSSL 0.9.8 b+ Griff gegebenen Szenario?

InformationsquelleAutor der Frage Jürgen Thelen | 2011-05-09

  1. 53

    Dies hängt von der Umsetzung, aber die Allgemeine Regel ist, dass die Domäne überprüft, dass alle SANs und der gemeinsame name. Ist die domain gefunden, dann wird das Zertifikat ist ok, für den Anschluss.

    RFC 5280Abschnitt 4.1.2.6 sagt "Das Thema Namen KANN durchgeführt werden, in das Feld Betreff und/oder die subjectAltName-Erweiterung". Dies bedeutet, dass der domain-name muss überprüft werden, sowohl gegen die SubjectAltName-Erweiterung und Subject-Eigenschaft (nämlich, es ist common name-parameter) des Zertifikats. Diese beiden Orte gegenseitig ergänzen und nicht duplizieren. Und SubjectAltName ist eine richtige Ort, um weitere Namen, wie www.domain.com oder www2.domain.com

    Update: wie pro RFC 6125veröffentlicht in '2011 der validator überprüfen müssen, SAN zuerst, und wenn die SAN vorhanden ist, dann CN, sollten nicht geprüft werden. Beachten Sie, dass die RFC 6125 ist relativ neu und gibt es noch Zertifikate und CAs, die Zertifikate ausstellen, die die "Haupt -" domain-Namen im CN und alternative domain-Namen in SAN. I. e. durch den Ausschluss CN von Validierung, wenn SAN vorhanden ist, können Sie leugnen, etwas anderes gültiges Zertifikat.

    InformationsquelleAutor der Antwort Eugene Mayevski 'Allied Bits

  2. 29

    Werden, absolut korrekt sind, sollten Sie alle Namen in das SAN-Feld.

    CN-Feld enthalten soll Betreff-Name ein domain-name, aber wenn der Netscape fanden heraus, dass dieses SSL-Sache, die Sie verpasst haben zu definieren, seine größte Markt.
    Einfach gab es kein Zertifikat definierten Feld für die Server URL.

    Diese gelöst wurde, setzen Sie die Domäne in das CN-Feld, und heutzutage ist die Verwendung von CN-Feld ist veraltet, aber immer noch weit verbreitet.
    Die CN kann halt nur einer domain.

    Den Allgemeinen Regeln für diese:
    CN - setzen Sie hier Ihre Haupt-URL (für Kompatibilität)
    SAN - setzen Sie alle Ihre domain hier, wiederholen Sie die CN, da die nicht im rechten Platz dort, aber es wird auch verwendet für das...

    Wenn dir eine korrekte Implementierung, die Antworten für Ihre Fragen Folgendes:

    • Hat diese Einrichtung eine Besondere Bedeutung, oder jede [dis]Vorteile gegenüber der Einstellung sowohl ZNS?
      Sie kann sowohl CNs, denn CN ist halt nur ein name.
      Sie können mit 2 einfachen CN-Zertifikat anstelle eines CN+SAN-Zertifikat, aber du brauchst 2 IP-Adressen für diese.

    • Was passiert auf server-Seite, wenn der andere host.domain.tld, abgefragt?
      Es ist egal, was passiert, auf der server-Seite.

    Kurz:
    Wenn ein browser-client eine Verbindung zu diesem server, dann sendet der browser verschlüsselt die Pakete, die verschlüsselt mit dem öffentlichen Schlüssel des Servers. Server entschlüsselt das Paket, und wenn der server wieder entschlüsseln kann, dann ist es verschlüsselt wurde für den server.

    Der server weiß nichts von der client, bevor Sie entschlüsseln, weil nur die IP-Adresse wird nicht verschlüsselt durch die Verbindung. Dies ist, warum du 2 IPs für 2-Zertifikate. (Vergessen SNI, es ist zu viel XP gibt, auch jetzt noch.)

    Auf der client-Seite die browser erhält die CN, dann der SAN, bis alle aktiviert sind.
    Wenn einer der Namen passt für die Website, dann die URL-überprüfung erfolgte durch den browser.
    (ich bin nicht reden über das Zertifikat-Verifizierung, natürlich sehr viel ocsp, crl, aia Anfrage und Antworten zu Reisen auf dem Netz jedes mal.)

    InformationsquelleAutor der Antwort Viktor Varga

  3. 7

    CABForum Baseline-Anforderungen

    Sehe ich niemand erwähnt hat der Abschnitt in der Baseline-Anforderungen noch nicht. Ich glaube, Sie sind wichtig.

    Q: SSL - Wie Gemeinsamen Namen (CN) und Subject Alternative Names (SAN) zusammen zu arbeiten?

    A: überhaupt Nicht. Wenn es SANs, dann CN ignoriert werden kann. - Zumindest, wenn die software, die die Prüfung hält sich sehr strikt an die CABForum Grundlinie Anforderungen.

    (Das bedeutet also, dass kann ich nicht beantworten "Bearbeiten", um Ihre Frage. Nur die ursprüngliche Frage.)

    CABForum Baseline-Anforderungen, v. 1.2.5 (ab 2. April 2015), Seite 9-10:

    9.2.2 Subject Distinguished Name Felder

    ein. Subject Common Name-Feld

    Feld "Zertifikat": subject:commonName (OID 2.5.4.3)

    Erforderlich/Optional: Deprecated (Unerwünscht, aber nicht verboten)

    Inhalt: Wenn vorhanden, MUSS dieses Feld enthält eine einzelne IP-Adresse oder Vollständig Qualifizierter Domain-Namen ist einer der Werte, die in der Bescheinigung subjectAltName-Erweiterung (siehe Abschnitt 9.2.1).

    EDIT: die Links von @Bruno ' s Kommentar

    RFC 2818: HTTP Über TLS2000, Abschnitt 3.1: Server-Identität:

    Wenn ein subjectAltName-Erweiterung vom Typ DNS-name vorhanden ist, das MUSS
    verwendet werden, wie die Identität. Ansonsten werden die (spezifischen) Common Name
    Feld im Feld Subject des Zertifikats MUSS verwendet werden. Obwohl
    die Verwendung der Common Name ist die bisherige Praxis, es ist veraltet und
    Zertifizierung die Behörden dazu angehalten, die Verwendung der DNS-name statt.

    RFC 6125: Darstellung und Verifizierung von Domain-Basierten Application Service
    Identität im Internet Public-Key-Infrastruktur Mit X. 509 (PKIX)
    Zertifikate im Rahmen von Transport Layer Security (TLS)    , 2011, Abschnitt 6.4.4: die Überprüfung des Common Names:

    [ ... ], wenn und nur wenn die vorgestellten Bezeichner enthalten keine
    DNS-ID, SRV-ID, URI-ID, oder einer beliebigen Anwendung-spezifischen Bezeichner-Typen
    vom client unterstützt wird, dann KANN der Kunde als letzten Ausweg, überprüfen Sie
    für eine Zeichenfolge, deren form entspricht der eines vollständig qualifizierten DNS-Domäne
    Namen im Common Name-Feld des subject-Feld (dh, eine CN-ID).

    InformationsquelleAutor der Antwort StackzOfZtuff

Schreibe einen Kommentar