创建 SAN 证书时,您有证书适用的基本域名,例如 www.domain.com,然后是备用名称,例如 download.domain.com 和 stream.domain.com。创建证书时,您是否在 SAN 列表中再次列出基本域名?
eg:
domain: www.domain.com
san: download.domain.com,stream.domain.com
vs:
domain: www.domain.com
san: www.domain.com,download.domain.com,stream.domain.com
哪一个更正确?哪一个得到更好的支持?
谢谢你,
答案1
我假设您所说的“域”是指“主题”。根据RFC6125,Subject 名称对于 HTTP 来说基本上已被弃用,并且在所有可行的情况下都应使用 subjectAltName 字段:
如果存在 dNSName 类型的 subjectAltName 扩展,则必须将其用作身份。否则,必须使用证书主题字段中的(最具体的)通用名称字段。虽然使用通用名称是现行做法,但已弃用,并鼓励证书颁发机构改用 dNSName。
所以是的,您始终需要在 subjectAltName 字段中列出主题名称。即使您的证书中只有一个主题,您也应该这样做。