CA autofirmata e combinazione di certificati jolly e SAN

1

Ho creato la mia Autorità di certificazione e installato il certificato su alcuni computer.

Ora ho generato un certificato server con nome comune * .mydomain.com e Subject Alternative Name (SAN) DNS mydomain.com per abbinare tutti i sottodomini di primo livello e il dominio radice. Ho firmato il certificato del server con la CA.

I browser Firefox e Safari accettano SAN mydomain.com ma non riescono a verificare il dominio jolly * .mydomain.com. Messaggio di errore:

Certificate belongs to a different site...

Non riesco a combinare caratteri jolly o SAN o devo inserire il carattere jolly nella SAN? O entrambi nella SAN?

    
posta Toxiro 17.12.2013 - 12:43
fonte

1 risposta

4

Non si tratta di caratteri jolly. Il comportamento che si osserva è dovuto a quanto segue: se nel certificato è presente un'estensione Alt nome soggetto, la parte Nome comune del DN viene semplicemente ignorata. Detto altrimenti, i nomi dei server nel certificato dovrebbero sempre essere in un'estensione Nome alt soggetto; la parte Common Name del DN soggetto viene utilizzata come fallback solo se l'estensione del nome alt Subject è completamente mancante (precisamente, se non c'è SAN, o se c'è una SAN che non contiene dNSName element affatto). Vedi RFC 2818, sezione 3.1 :

If a subjectAltName extension of type dNSName is present, that MUST
be used as the identity. Otherwise, the (most specific) Common Name
field in the Subject field of the certificate MUST be used. Although
the use of the Common Name is existing practice, it is deprecated and
Certification Authorities are encouraged to use the dNSName instead.

Pertanto, nel tuo caso, dovresti inserire entrambi mydomain.com e *.mydomain.com come dNSName elementi nell'estensione SAN (l'estensione SAN può contenere molti nomi DNS). Non importa se i nomi sono jolly o non a questo livello. A titolo di esempio, dai un'occhiata al certificato utilizzato da Google (collegalo su https://www.google.com , poi chiedi al tuo browser di visualizzare i "dettagli del certificato"): questo certificato attualmente presenta un'estensione SAN con non meno di 44 nomi DNS, 34 di che sono nomi jolly.

    
risposta data 17.12.2013 - 14:35
fonte

Leggi altre domande sui tag