通配符 SSL 证书的通用名称是否可以比简单的“*”更具体?
例如:如果防火墙具有多个接口,并且为这些接口分配了类似的名称:、、pix-lan1
等。对单个证书使用一个 CN 可以吗?pix-lan2
pix-wan1
pix-*.domain
显然*.domain
可行;但我们发现,在企业范围内使用单个通配符证书需要同时在太多机器上替换证书。
答案1
这取决于协议。对于 HTTPSRFC 2818明确允许通配符位于标签内,即类似f*.example.com
。但我在CA 浏览器论坛的基本要求将通配符限制为仅限完整标签。
对于 LDAP 或 SMTP 等其他协议,情况则有所不同。大多数协议在标准中仅允许全标签通配符,例如*.example.com
和 ,而不允许f*.example.com
。但我不确定这些差异在实践中真正执行的程度如何,因为通常存在用于验证主题的共享代码。
答案2
- 客户端可以匹配所呈现的标识符,其中通配符不是标签的唯一字符(例如,baz*.example.net 和baz.example.net 和 bz.example.net 将分别用于匹配 baz1.example.net、foobaz.example.net 和 buzz.example.net)。
但是,同一文档的第 7.2 段提出了安全问题。附录 B 列出了一些应用程序及其对通配符的使用。例如,通配符(如您的示例)在 HTTP 中有效,但在 LDAP 或 SMTP/POP3/IMAP 中无效。