SAN प्रमाणपत्र का उपयोग करते समय अमान्य आम नाम

Question

मैंने एक आंतरिक सर्वर के लिए प्रमाणपत्र तैयार किया है जो बाहरी रूप से भी सुलभ है। this के अनुसार एसओ और SAN फ़ील्ड एक दूसरे की प्रशंसा करते हैं और तदनुसार मैंने सीएन को server.domain.local पर सेट किया है और SAN में मेरे पास DNS है: server.domain.tld

हालांकि, कम से कम क्रोम के साथ , मैं बिना त्रुटि के server.domain.tld (SAN एंट्री) पर ब्राउज़ कर सकता हूं लेकिन मुझे server.domain.local (CN)

पर एक सामान्य नाम मिस्चैच त्रुटि मिलती है क्या यह क्रोम पर एनएसएस में एक कार्यान्वयन त्रुटि है या मैंने किया है कुछ गलत? क्या मेरे पास SAN फ़ील्ड में server.domain.local और server.domain.tld दोनों होना चाहिए?

Answer 1

.. सीएन और सैन क्षेत्र एक दूसरे की तारीफ ..

कि सामान्य PKI मामले में केवल सही है, लेकिन विशिष्ट प्रोटोकॉल अलग व्यवहार कर।

If a subjectAltName extension of type dNSName is present, that MUST 
be used as the identity. Otherwise, the (most specific) Common Name 
field in the Subject field of the certificate MUST be used. Although 
the use of the Common Name is existing practice, it is deprecated and 
Certification Authorities are encouraged to use the dNSName instead. 

इसका मतलब है कि, यदि आप एक सैन अनुभाग यह सभी के नाम शामिल होना चाहिए है, क्योंकि सीएन जांच नहीं की जाएगी: HTTPS में प्रमाण पत्र की जाँच के लिए प्रासंगिक आरएफसी RFC2818 (या बाद में RFC6125) जिसमें कहा गया है।

Answer 2

सीएन और सैन क्षेत्र एक दूसरे की तारीफ और इतने तदनुसार मैं server.domain.local को सीएन सेट और सैन में मैं डीएनएस है: server.domain.tld

नहीं है (लेकिन वह पोस्ट अब पुरानी है)।

एक DNS नाम रखने का सामान्य नाम (सीएन) आईईटीएफ और सीए/ब्राउज़र मंच दोनों द्वारा बहिष्कृत किया जाता है। आपको विषय वैकल्पिक नाम (SAN) में सभी DNS नाम रखना चाहिए। यूजर को प्रदर्शित होने के बाद से "उदाहरण एलएलपी" जैसे दोस्ताना नाम के लिए सीएन का उपयोग करें।

सीए/ब्राउज़र बेसलाइन आवश्यकताएं (बीआर) के अनुसार, सीएन में एक DNS नाम SAN में भी मौजूद होना चाहिए। CA/B BR, Section 9.2 देखें।

---

क्रोम कम से कम, मैं बिना किसी त्रुटि के server.domain.tld (सैन प्रविष्टि) को ब्राउज़ कर सकते हैं, लेकिन मैं server.domain.local पर एक आम नाम बेमेल त्रुटि मिलती है (सीएन)

क्रोम पर सही ढंग से अस्वीकार कर रहा है यदिserver.domain.localसीएन में मौजूद है, लेकिन SAN में मौजूद नहीं है। यह सीए/बी बीआर का उल्लंघन है यदि यह दोनों में मौजूद नहीं है।

---

मैं सैन क्षेत्र

हाँ में दोनों server.domain.local और server.domain.tld हों, तो सैन में दोनों DNS नामों को रख। सीएन में एक DNS नाम मत डालो। एक दोस्ताना नाम के लिए सीएन का प्रयोग करें।

---

पूर्णता के लिए, सीए/बी सीए और ब्राउज़र के लिए खड़ा है। उनके पास अपना छोटा बंद क्लब है, और उनके पास प्रमाण पत्र जारी करने के लिए नीतियों का अपना सेट है। ब्राउज़र को आईईटीएफ दस्तावेज़ों में निर्दिष्ट चीजों को करने की अपेक्षा न करें।

और यदि आप सीए/बी के सदस्य हैं जो सीए द्वारा जारी किए गए जंगली में उपयोग किए गए X509 प्रमाणपत्रों को सत्यापित कर रहे हैं, तो आपको सीए/बी बीआर का उपयोग करना चाहिए, न कि आईईटीएफ दस्तावेज़।

Answer 3

मूल प्रश्न का उत्तर दिया गया है, लेकिन मैं एक उत्तर में दिए गए एक बिंदु को रीबूट करना चाहता हूं।

दोस्ताना नाम के लिए सीएन का उपयोग, जबकि मुझे आकर्षक और समझदार, सीए/बी बीआरएस द्वारा समर्थित नहीं है। सीए/बी बीआरएस के पूर्व संस्करण में, यह धारा 9.2.2 था, लेकिन ऐसा लगता है कि हाल ही में इसे स्थानांतरित किया गया है। https://cabforum.org/wp-content/uploads/CAB-Forum-BR-1.3.0.pdf

---

7.1.4.2.2। विषय विशिष्ट नाम फ़ील्ड्स

ए। प्रमाणपत्र फ़ील्ड: विषय: सामान्य नाम (ओआईडी 2.5.4.3) आवश्यक/वैकल्पिक: बहिष्कृत (निराश, लेकिन प्रतिबंधित नहीं)

सामग्री: यदि मौजूद है, तो इस फ़ील्ड में एक एकल आईपी पता या पूर्ण-योग्य डोमेन नाम होना चाहिए सर्टिफिकेट के topicAltName एक्सटेंशन में निहित मानों में से एक।

---

सम्मान से, --obivon