Certificati multipli con lo stesso DN

Naviga le tue risposte
0

Ho alcune domande relative al DN nei certificati SSL,

  1. Più domini possono avere certificati SSL con lo stesso DN emesso dallo stesso CIRCA?

  2. Va bene per un singolo dominio avere più certificati SSL con lo stesso DN e validità?

  3. Possiamo includere informazioni relative alla CA (numero di serie, nome o ID ecc.) nell'attributo del certificato SSL DN? per esempio. cn = User001, ou = SSL, ou = 001 , o = DS, c = US. Se è possibile allora quale l'attributo è meglio usare a questo scopo ou, sn o altro? Il problema è al momento, la nostra CA non supporta più certificati con lo stesso DN pertanto, vogliamo includere alcune informazioni univoche in ogni SSL DN del certificato.

Se possibile, fornire un nome o un collegamento all'RFC / standard per ulteriori indicazioni.

Grazie

    
posta user1855673 30.11.2017 - 10:05
fonte

1 risposta

1

Can multiple domains have SSL certificates with the same DN issued by same CA?

Sì. Al browser non interessa quanti certificati ci sono per un sito purché validi, il che include che l'oggetto / i del certificato corrisponda al nome di dominio. Pertanto, se più domini devono utilizzare un certificato con lo stesso / i soggetto / i, l'oggetto / i deve coprire tutti questi domini, ad esempio utilizzando un carattere jolly o includendo tutti i domini come nomi alternativi del soggetto.

Is it ok for a single domain to have multiple SSL certificates with same DN and validity?

Anche questo è possibile. E anche se è insolito avere più certificati SSL con lo stesso soggetto e esattamente la stessa validità è comune avere certificati con lo stesso soggetto ma validità sovrapposta, vale a dire quando si rinnova un certificato che sta per scadere.

Can we include CA related information (serial number, name or id etc) in the attribute of SSL certificate DN?

Se hai il pieno controllo della CA, puoi farlo. Siate nel caso normale di utilizzare una CA di fiducia pubblica che non avete questo controllo. La CA sceglierà solo le informazioni dalla CSR (richiesta di firma del certificato) che ritiene appropriate, che di solito è solo il soggetto oi soggetti.

If possible please provide name or link to the RFC / standard for further guidance.

Per informazioni generali sulle strutture PKI X.509, vedi RFC 5280 . Per informazioni dettagliate sulla CA di pubblica affidabilità, vedi i requisiti di base del forum del browser CA .

    
risposta data 30.11.2017 - 12:02
fonte

Leggi altre domande sui tag

Passa alla chiave privata e pubblica per l'identificazione Come verificare in modo crittografico una richiesta proviene da un server attendibile