1

Может ли общее имя для SSL-сертификата с подстановочными символами быть более конкретным, чем просто "*"?

например: в случае брандмауэра с несколькими интерфейсами и аналогичными именами, назначенными этим интерфейсам: pix-lan1 , pix-lan2 , pix-wan1 и т. д. Можно ли использовать CN для pix-*.domain для одного сертификата ?

Ясно, что *.domain будет работать; но мы обнаружили, что использование одного общедоступного сертификата в масштабах предприятия требует одновременной замены сертификатов на слишком большом количестве компьютеров.

2 ответа2

3

Это зависит от протокола. Для HTTPS RFC 2818 явно разрешает использовать подстановочный знак внутри метки, то есть что-то вроде f*.example.com . И я не могу найти никаких утверждений в базовых требованиях форума браузера CA, которые ограничивают подстановочный знак только полной меткой.

Для других протоколов, таких как LDAP или SMTP, ситуация отличается. Большинство разрешают только в стандартных только полные символы подстановки, такие как *.example.com и не разрешают f*.example.com . Но я не уверен, насколько эти различия действительно применяются на практике, потому что часто существует общий код для проверки предмета.

2

В пункте 6.4.3 RFC 6125 говорится:

  1. Клиент МОЖЕТ совпадать с представленным идентификатором, в котором подстановочный знак не является единственным символом метки (например, baz * .example.net и baz.example.net, а b z.example.net будет использоваться для соответствия baz1.example .net и foobaz.example.net и buzz.example.net соответственно).

Однако пункт 7.2 того же документа вызывает обеспокоенность в отношении безопасности. В приложении B перечислены некоторые приложения и их использование подстановочных знаков. Например, подстановочный знак, такой как ваш пример, работает в HTTP, но не в LDAP или SMTP/POP3/IMAP.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .