gpt4 book ai didi

ssl - SAN 中用于自签名 ssl 证书的非 TLD 通配符

转载 作者:太空宇宙 更新时间:2023-11-03 13:16:45 24 4
gpt4 key购买 nike

我关注了优秀的文章 how-do-you-sign-certificate-signing-request-with-your-certification-authority创建我自己的自签名证书。我为 *.pro 和 *.pro.example.com 设置了 SAN

如果我点击 web02.pro.example.com 一切正常。

当我点击 web02.pro 时它不起作用:

curl --cacert cacert.pem https://web02.pro/version.html
curl: (51) SSL: 没有替代证书主题名称与目标主机名 'web02.pro' 匹配

web02.pro 和 web02.pro.example.com 都解析为同一台机器,并且该机器设置为响应这两个名称。

我生成的证书显示:

        X509v3 Subject Alternative Name:   
DNS:*.pro, DNS:*.pro.example.com

对自签名证书使用未读 TLD 是否有任何限制?

最佳答案

许多客户端不仅根据证书中的所有名称检查主机名,而且只允许不太宽松的通配符。这意味着像 *.pro.example.com*.example.com 这样的通配符被认为是有效的,而像 * 这样只指定顶级域的通配符.pro 被视为无效,不会包含在验证过程中。

这是因为在顶级域名下,您通常会发现许多拥有不同所有者的域名。因此,*.pro 的通配符证书将包含来自不同所有者的域,这最好是不可能的。

关于ssl - SAN 中用于自签名 ssl 证书的非 TLD 通配符,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31998854/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com