我这里有一个证书,其主题为“server01.department.company.com”,还有两个主题备用名称“app1”和“app2”。当我使用 app1 或 app2 连接到服务器时,一切都正常。但是当我使用服务器的真实名称(主题)连接时,浏览器告诉我证书无效。我现在查看了 digicert 的一些证书,它们也在 SAN 列表中提到了主题。在我看来,只要有 SAN,浏览器就不会再检查主题了。我现在正在阅读 RFC 5280,但我找不到任何可以证实这一点的东西。
如果我的假设正确以及为什么会这样,有人可以提供更多信息给我吗?
答案1
RFC 6125§4.4就是您要找的内容。它指定当存在主题备用名称时,无需检查通用名称 (CN),但客户端允许这样做。实际上,许多客户端现在完全忽略了 CN。
联系颁发证书的人员并要求他们纠正错误。