У меня есть свой собственный X.509 CA. При выдаче сертификатов на хосты, если у меня есть
Subject: .../CN=foobox.grawity.tldsubjectAltName: DNS:foobox.local ,я все еще должен поставить DNS:foobox.grawity.tld как subjectAltName?
(Я заметил, что Chrome иногда использует первое sAN вместо общего имени субъекта в сообщениях об ошибках.)
RFC 2818 говорит:
If a subjectAltName extension of type dNSName is present, that MUST
be used as the identity. Otherwise, the (most specific) Common Name
field in the Subject field of the certificate MUST be used. Although
the use of the Common Name is existing practice, it is deprecated and
Certification Authorities are encouraged to use the dNSName instead.
Это означает, что CN будет игнорироваться, если присутствует subjectAltName, так что да, вам нужно добавить foobox.grawity.tld в качестве записи subjectAltName.
Обычно клиент хочет видеть точное совпадение между именем хоста, которое, по его мнению, он просматривает, и SubjectDN.CommonName или subjectAltName.