ऐसा लगता है कि ओपनएसएसएल इसे कॉल करने के लिए छोड़ देगा।
हां, अभ्यास में यह बहुत ही समस्याग्रस्त चूक है क्योंकि इतने सारे एप्लिकेशन को यह नहीं पता कि उन्हें मैन्युअल रूप से चेक करना होगा।
ओपनएसएसएल 1.1.0 में होस्टनाम सत्यापन (इसमें HEAD
में अब (एसईपीटी 2013 के रूप में) शामिल होगा)। परिवर्तन लॉग के अनुसार, -verify_name
विकल्प है, और apps.c
-verify_hostname
स्विच का जवाब देता है। लेकिन s_client
किसी भी स्विच का जवाब नहीं देता है, इसलिए इसका स्पष्ट नहीं है कि क्लाइंट के लिए होस्टनाम जांच कैसे लागू की जाएगी या लागू की जाएगी।
तो subjectAlternativeName
विस्तार के dnsName
क्षेत्र है कि मूल्य के लिए मौजूद है, सेट के नाम पर है।
कई विषय वैकल्पिक नाम (SAN) हो सकते हैं, इसलिए एक से अधिक के लिए तैयार रहें।
अन्यथा, विषय के सीएन क्षेत्र में नाम सेट करें।
मुझे विश्वास है कि आपको इसे एक मैच के लिए भी जांचना होगा।
अनुरोध किया होस्टनाम के खिलाफ नाम की तुलना करें, प्रत्येक तारांकन मिलान करने के लिए अनुमति देता है [एक-zA-Z0-9 _], लेकिन 'डॉट' (।)।
यह और अधिक दर्दनाक है। आपको यह भी सुनिश्चित करना होगा कि आप जीटीएलडी या सीसीटीएलडी से मेल नहीं खा रहे हैं। उदाहरण के लिए, आप जीटीएलडी *.com
के खिलाफ जारी प्रमाण पत्र से मेल नहीं खाते हैं। वह प्रमाणपत्र शायद एक बुरे आदमी द्वारा जारी किया गया था;)
सीसीटीएलडी * .eu, * .us, या இலங்கை (nic.lk) की तरह हैं। उनमें से कुछ 5000 या उससे अधिक हैं और मोज़िला http://publicsuffix.org/ पर एक सूची प्रदान करता है। कच्ची सूची https://mxr.mozilla.org/mozilla-central/source/netwerk/dns/effective_tld_names.dat?raw=1 पर है।
ऐसा नहीं है कि वहाँ यह करने के लिए चारों ओर लात कोड के बहुत होना चाहिए मुझे लगता है, लेकिन मैं किसी भी नहीं मिला है।
वैन गुलिक के सुझाव के अतिरिक्त, आप कर्ल को भी आजमा सकते हैं। मैं काफी निश्चित हूं कि कर्ल में होस्टनाम मिलान कोड है।
आप यह भी सत्यापित कर सकते हैं कि प्रमाणपत्र अच्छी तरह से गठित हैं। वेब के संदर्भ में जिम्मेदार समूह सीए/ब्राउज़र मंच है। ,
आधारभूत डॉक्स में, आप पाएंगे, उदाहरण के लिए, एक IP: वे बनाने प्रमाण पत्र के लिए आधारभूत और विस्तारित आवश्यकताओं है सामान्य नाम (सीएन) के रूप में सूचीबद्ध विषय वैकल्पिक नाम (SAN) में भी सूचीबद्ध होना चाहिए।
विस्तारित दस्तावेज़ों में, आप पाएंगे कि आरक्षित आईपी (आरएफसी 1 9 18) एक विस्तारित सत्यापन (ईवी) प्रमाण पत्र में उपस्थित नहीं हो सकता है; और ईवी प्रमाण पत्र में जंगली कार्ड नहीं हो सकते हैं।
प्रमाण पत्र में जो भी मिलता है उसके आधार पर मूल्य को "सेटिंग" करने के बजाय, आपको इसे दूसरी तरफ करना चाहिए: जांचें कि क्या आप अपेक्षा करते हैं कि एक मेल SAN प्रविष्टि है। ऐसा इसलिए है क्योंकि SAN एक्सटेंशन में कई DNS प्रविष्टियां हो सकती हैं। (अब आरएफसी 6125 में वाइल्डकार्ड मिलान के बारे में अधिक सटीक नियम हैं, बीटीडब्ल्यू।) – Bruno