Согласно названию, каковы правила именования при покупке сертификатов?
При покупке сертификата для TLS / https с определенного сервера, естественно, я буду использовать по умолчанию имя сервера, например, если сервер называется MOONSERVER под Тема сертификата x509 я бы установил его как MOONSERVER.
Кроме того, мне нужно использовать другой сертификат для подписи сообщений. Как мне это назвать? Каковы правила для действительных имен? например такие дефисы, подчеркивания и т. д. Хорошо? Учитывают ли имена регистр?
Когда вы покупаете эти сертификаты, содержимое этих полей, вероятно, будет определяться пользовательским интерфейсом продавца сертификата, который, мы надеемся, проведет некоторую проверку корректности введенных вами значений.
Информация, которую следует разместить в Тема поле зависит, помимо прочего, от приложения.
HTTPS, который является просто реализацией HTTP через TLS, регулируется RFC 2818, который предусматривает, что идентификация сервера должна использовать Альтернативное имя субъекта(SAN) расширение dnsName поле, если оно есть.
Форум CA / Browser, который является консорциумом коммерческих центров сертификации и поставщиков браузеров, добавляет еще более строгие ограничения и ожидает, что идентификация сервера будет использовать только расширение SAN (т.е. любые DNS-имена серверов в поле Тема не проверяются). Следовательно, если у вас есть веб-приложение, в котором конечный пользователь использует общий веб-браузер (а это почти все мы), вам необходимо будет следовать требованиям CA / B Forum и иметь DNS-имена ваших хостов в SAN.
Обратите внимание, что сам TLS не определяет никаких ограничений для имен, поэтому другие приложения, использующие TLS, могут иметь другие требования. То же самое касается использования сертификатов X.509 без использования TLS, например подписи кода. В RFC 6125 есть руководство по интерпретации имен DNS.
Правила, определяющие допустимые символы и т. Д., Содержатся в документах, определяющих эти сертификаты. Это RFC 5280 для сертификатов, используемых в Интернете, и X.509 для всех сертификатов (включая сертификаты, используемые в Интернете). Последний относится к множеству документов, таких как X.500, X.501, X.520, X.521 и X.680.
Раздел 6 X.520 определяет многие атрибуты, которые вы можете использовать в Тема поле. Это захватывающее чтение перед сном, поэтому, если вы не можете сэкономить время, придерживайтесь основных персонажей PrintableString тип:
A..Z a..z 0..9 (space)'()+,-./:=?
Это может быть политически некорректным, поскольку большинство языков, отличных от английского, не будут охвачены. Альтернативой является использование utf8String тип, который включает большинство персонажей в мире.