允许的最大SAN数(主题替代名称)

时间:2015-07-03 11:52:10

标签: ssl-certificate x509

X.509中的主题替代名称是否有限制?还有SAN的规则吗?

2 个答案:

答案 0 :(得分:12)

<强> 1。还有SAN的规则吗?

RFC5280将主题备用名称指定为

SubjectAltName ::= GeneralNames

,即GeneralNames

GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName

因此,请查看rfc中的GeneralName的“规则”(第37页)。

<强> 2。 X.509中的主题替代名称是否有任何限制?

附录B中的相同rfc所述.ASN.1注释

The SIZE (1..MAX) construct constrains the sequence to have at least
one entry.  MAX indicates that the upper bound is unspecified

答案 1 :(得分:5)

主题备用名称扩展名由RFC 5280 section 4.2.1.6完全指定。

有关使用此扩展程序的一些规则或说明包括:

  • 主题名称可以是 在subject字段和/或subjectAltName扩展名中携带。请注意,如果subjectAltName扩展名中存在任何dNSName,则应在其中包含所有 DNS名称,包括主题名称字段中的名称。有关详细信息,请参阅RFC 2818

  • 如果证书中包含的唯一主题标识是 另一种名称形式(例如,电子邮件地址),然后是 主题专有名称必须为空(空序列),并且 subjectAltName扩展必须存在并标记为关键。

  • 主题替代名称可以用与约束相同的方式约束 使用name constraints extension对主题区分名称。也就是说, CA证书上的名称约束扩展可以强加一个名称空间,其中包含所有主题名称(包括替代名称) 必须找到证书路径中的后续证书。

  • 如果subjectAltName扩展名存在,则必须包含序列 至少一个条目。没有定义上限;实现可以自由选择适合其环境的上限。

  • 与主题字段不同,符合CA必须 不发出subjectAltNames包含空的证书 GeneralName字段。

  • 主题替代名称的语义,包括 通配符是 RFC 5280没有解决。但是,RFC 6125表示&#34;通配符&#39; *&#39;不应包含在提供的标识符中#34;