Может ли кто-нибудь подтвердить (или еще лучше сказать, почему я могу достичь следующего, если это вообще возможно) мое понимание / проблема
Я использую Microsoft CA (домен присоединен) из того, что я прочитал здесь и в других сообщениях в блогах. Я не могу использовать ограничения имен для ограничения выдачи сертификатов, когда появляется доменное имя, которое я хочу ограничить. только в Общем названии (например, CN =) часть общего поля имени субъекта.
например
скажем, я хочу ограничить выдачу любого сертификата для MyDomain.com
если у меня есть запрос на подпись сертификата, который включает имя субъекта
CN = www.MyDomain.com, OU = IT, O = MyOrg, L = Пул, S = Дорсет, C = GB
Также есть нет альтернативных имен тем в запросе на подпись сертификата вообще.
хотя в моем сертификате CA в разделе DNS (исключение) есть ограничения на имя, например
DNS = .MyDomain.com DNS = MyDomain.com
ЦС по-прежнему будет выдавать сертификат.
Если я затем добавлю что-то вроде www2.MyDomain.com в SAN запроса на подпись сертификата, CA отклонит запрос, как ожидалось.
Итак, из того, что я видел и читал, ограничения имен не применяются к элементу CN = (общее имя) в имени субъекта?
Поскольку веб-серверы SSL / TLS будут смотреть на CN = для совпадения доменного имени (если нет SAN), чтобы принять сертификат, похоже, что для этого нет решения, если я чего-то не упускаю?
Буду благодарен за любой вклад
спасибо __AAnotherUser
Из RFC 5280:
Приложения, соответствующие этому профилю, ДОЛЖНЫ иметь возможность обрабатывать ограничения имени, которые налагаются на форму имени directoryName, и ДОЛЖНЫ иметь возможность обрабатывать ограничения имени, которые накладываются на формы имени rfc822Name, uniformResourceIdentifier, dNSName и iPAddress.
Ограничения на имя каталога (частью которого является CN) и на dNSName (которое является subjectAltName) - это два разных типа ограничений, оба из которых должны присутствовать в сертификате CA.
Кстати: сертификаты серверов без SAN больше не разрешены CA / Browser Forum.