对于 Web 服务,PEM 证书中的通用名称(和 SAN)应与主机名匹配。但是,我发现许多 IPSEC 或 VPN 在线文档(使用自签名证书的文档)忽略了证书请求中的通用名称字段。我假设在 IPSEC 和 VPN 中使用证书时,主机名并不重要,这与 Web 服务不同。有人可以向我解释一下吗?
答案1
有趣的事实:SSL 证书和 s 中已弃用通用名称如果存在主题备用名称,则应被忽略。但我们在开玩笑吗——那里有成千上万的客户,但没有人能保证他们是最新的。
但您看到的是正确的。只有在没有 SAN 的情况下才应使用通用名称,我猜 SAN 中的 A 不再代表“替代”......
但这并不意味着主机名不重要!主机名应在证书或验证的 SAN 部分中指定将要(或者应该)失败。