Назад | Перейти на главную страницу

Проблема ограничений имени сертификата CA в отношении общего имени (CN =)

Может ли кто-нибудь подтвердить (или еще лучше сказать, почему я могу достичь следующего, если это вообще возможно) мое понимание / проблема

Я использую Microsoft CA (домен присоединен) из того, что я прочитал здесь и в других сообщениях в блогах. Я не могу использовать ограничения имен для ограничения выдачи сертификатов, когда появляется доменное имя, которое я хочу ограничить. только в Общем названии (например, CN =) часть общего поля имени субъекта.

например

скажем, я хочу ограничить выдачу любого сертификата для MyDomain.com

если у меня есть запрос на подпись сертификата, который включает имя субъекта

CN = www.MyDomain.com, OU = IT, O = MyOrg, L = Пул, S = Дорсет, C = GB

Также есть нет альтернативных имен тем в запросе на подпись сертификата вообще.

хотя в моем сертификате CA в разделе DNS (исключение) есть ограничения на имя, например

DNS = .MyDomain.com DNS = MyDomain.com

ЦС по-прежнему будет выдавать сертификат.

Если я затем добавлю что-то вроде www2.MyDomain.com в SAN запроса на подпись сертификата, CA отклонит запрос, как ожидалось.

Итак, из того, что я видел и читал, ограничения имен не применяются к элементу CN = (общее имя) в имени субъекта?

Поскольку веб-серверы SSL / TLS будут смотреть на CN = для совпадения доменного имени (если нет SAN), чтобы принять сертификат, похоже, что для этого нет решения, если я чего-то не упускаю?

Буду благодарен за любой вклад

спасибо __AAnotherUser

Из RFC 5280:

Приложения, соответствующие этому профилю, ДОЛЖНЫ иметь возможность обрабатывать ограничения имени, которые налагаются на форму имени directoryName, и ДОЛЖНЫ иметь возможность обрабатывать ограничения имени, которые накладываются на формы имени rfc822Name, uniformResourceIdentifier, dNSName и iPAddress.

Ограничения на имя каталога (частью которого является CN) и на dNSName (которое является subjectAltName) - это два разных типа ограничений, оба из которых должны присутствовать в сертификате CA.

Кстати: сертификаты серверов без SAN больше не разрешены CA / Browser Forum.