У меня есть управляемый Cloudera кластер Hadoop, в котором я установил сертификаты SSL на все серверы. К сожалению, имя хоста на серверах не совпадает с именем, настроенным для DNS.
При запуске hostname -f он дает: server1.x Но когда я выполняю nslookup с клиентской машины, я получаю: server1.x.y
Очевидно, что доступ к server1.x.y из браузера дает ошибку идентификации, поскольку он доверяет только server1.x. Мне было интересно, могу ли я добавить server1.x.y в альтернативное имя субъекта, и станет ли браузер доверять сертификату?
Назначение расширения SAN - иметь (типизированный) список имен субъектов, которые считаются действительными. Вы можете использовать это, чтобы добавить любые дополнительные имена, которые вы хотите, чтобы клиенты могли использовать.
Однако похоже, что в этом сценарии вам действительно не нужно несколько имен? Похоже, что на практике работает только одно из этих двух имен (то, что существует в DNS), и тогда, вероятно, было бы лучше просто очистить вашу конфигурацию, чтобы вы постоянно использовали только одно из имен вместо того, чтобы иметь запутанный микс. обоих.
Я думаю, что такая очистка кажется намного предпочтительнее по сравнению с дальнейшим внесением путаницы, добавляя оба имени в SAN.
Могу ли я указать несколько имен хостов в одном сертификате?
да