SSL 证书中的通配符 CN 是否可以更具体

SSL 证书中的通配符 CN 是否可以更具体

通配符 SSL 证书的通用名称是否可以比简单的“*”更具体?

例如:如果防火墙具有多个接口,并且为这些接口分配了类似的名称:、、pix-lan1等。对单个证书使用一个 CN 可以吗?pix-lan2pix-wan1pix-*.domain

显然*.domain可行;但我们发现,在企业范围内使用单个通配符证书需要同时在太多机器上替换证书。

答案1

这取决于协议。对于 HTTPSRFC 2818明确允许通配符位于标签内,即类似f*.example.com。但我在CA 浏览器论坛的基本要求将通配符限制为仅限完整标签。

对于 LDAP 或 SMTP 等其他协议,情况则有所不同。大多数协议在标准中仅允许全标签通配符,例如*.example.com和 ,而不允许f*.example.com。但我不确定这些差异在实践中真正执行的程度如何,因为通常存在用于验证主题的共享代码。

答案2

RFC 6125 第 6.4.3 段说:

  1. 客户端可以匹配所呈现的标识符,其中通配符不是标签的唯一字符(例如,baz*.example.net 和baz.example.net 和 bz.example.net 将分别用于匹配 baz1.example.net、foobaz.example.net 和 buzz.example.net)。

但是,同一文档的第 7.2 段提出了安全问题。附录 B 列出了一些应用程序及其对通配符的使用。例如,通配符(如您的示例)在 HTTP 中有效,但在 LDAP 或 SMTP/POP3/IMAP 中无效。

相关内容