处理主机名,主题证书中的替代名称

时间:2013-04-16 11:49:17

标签: openssl x509

在x509证书中应该如何比较主机名?

例如:如果证书已注册*.abcorp.com,那么www.sales.abcorp.com这样的网站是否可以对此证书有效?或者只有像sales.abcorp.com这样的网站在这种情况下才有效?

这个问题是我在脑海中对ssl证书的主机名检查的实现表示怀疑。

Google Chrome与后者相关。即,如果证书的CN字段为*.abcorp.com,则只有sales.abcorp.com等网站在该证书下有效,www.sales.abcorp.com等网站会抛出错误,说明服务器证书与URL不匹配。< / p>

1 个答案:

答案 0 :(得分:1)

此类证书称为通配符证书。在wiki阅读通配符证书后,发现只支持单级别的子域匹配。

由于支持www over domain可能会意外支持多个级别的域。 因此,www.sales.abcorp.com等案例不匹配。