X.509中的主题替代名称是否有限制?还有SAN的规则吗?
答案 0 :(得分:12)
<强> 1。还有SAN的规则吗?
RFC5280将主题备用名称指定为
SubjectAltName ::= GeneralNames
,即GeneralNames
GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName
因此,请查看rfc中的GeneralName
的“规则”(第37页)。
<强> 2。 X.509中的主题替代名称是否有任何限制?
如附录B中的相同rfc所述.ASN.1注释:
The SIZE (1..MAX) construct constrains the sequence to have at least
one entry. MAX indicates that the upper bound is unspecified
答案 1 :(得分:5)
主题备用名称扩展名由RFC 5280 section 4.2.1.6完全指定。
有关使用此扩展程序的一些规则或说明包括:
主题名称可以是
在subject字段和/或subjectAltName扩展名中携带。请注意,如果subjectAltName扩展名中存在任何dNSName
,则应在其中包含所有 DNS名称,包括主题名称字段中的名称。有关详细信息,请参阅RFC 2818。
如果证书中包含的唯一主题标识是 另一种名称形式(例如,电子邮件地址),然后是 主题专有名称必须为空(空序列),并且 subjectAltName扩展必须存在并标记为关键。
主题替代名称可以用与约束相同的方式约束 使用name constraints extension对主题区分名称。也就是说, CA证书上的名称约束扩展可以强加一个名称空间,其中包含所有主题名称(包括替代名称) 必须找到证书路径中的后续证书。
如果subjectAltName扩展名存在,则必须包含序列 至少一个条目。没有定义上限;实现可以自由选择适合其环境的上限。
与主题字段不同,符合CA必须 不发出subjectAltNames包含空的证书 GeneralName字段。
主题替代名称的语义,包括 通配符是 RFC 5280没有解决。但是,RFC 6125表示&#34;通配符&#39; *&#39;不应包含在提供的标识符中#34;