На самом деле, вы должны использовать dnsName
запись в разделе subjectAltName
сертификата указания FQDNs, а не CN части subject
Использование subject
для этой цели не рекомендуется с момента публикации RFC 2818 в 2000 году. Цитирование раздела 3.1:
Если присутствует расширение subjectAltName типа dNSName, оно ДОЛЖНО использоваться в качестве идентификатора. В противном случае (наиболее определенное) поле общего имени в поле «Тема» сертификата ДОЛЖНО использоваться. Хотя использование общего имени является существующей практикой, оно устарело, и вместо этого сертификационным органам рекомендуется использовать dNSName.
Единственный случай, когда содержимое subject
релевантно в контексте проверки сертификата сервера, - это отсутствие dnsName
включенного в subjectAltName
, который был устаревшим на протяжении последних 17 лет на момент написания.
Использование подстановочных сертификатов не рекомендуется, как показано в разделе 7.2 RFC 6125:
В этом документе говорится, что подстановочный знак '*' НЕ ДОЛЖЕН включаться в представленные идентификаторы, но МОЖЕТ проверяться клиентами приложения (главным образом для обратной совместимости с развернутой инфраструктурой).
Использование одного и того же закрытого ключа для нескольких сервисов обычно считается плохой практикой. Если одна из служб будет скомпрометирована, связь с другими службами окажется под угрозой, и вам придется заменить ключ (и сертификат) для всех служб.
Я предлагаю RFC 6125 в качестве хорошего источника информации по этому вопросу.