我们的浏览器和计算机具有一组CA的根证书。举个例子。 VeriSign的根证书安装在我的机器上。所以我可以信任该证书颁发的所有证书。如果VeriSign已发出10个具有相同根证书的服务器证书,则将信任与所有10个证书的通信。
但是什么部分使浏览器确保它正在与它真正想要的服务器进行通信;而不是一个(虽然该服务器也有一个有效的VeriSign服务器证书),它没有?
是否可以为Web服务器B配置向服务器A发出的服务器证书?
答案 0 :(得分:0)
浏览器将检查证书中的CN a.k.a CommonName属性值。它应该与加载Web资源的服务器的主机名匹配。但是,CN只能包含一个服务器FQDN。除了CN之外,还有另一个名为SAN a.k.a主题备用名称的属性,如果您打开包含SAN的X509证书,您还可以包含更多FQDN或IP地址,您将看到
等条目DNS.1 = somesever.com
DNS.2 = alternateserver.com
IP.1 = 10.20.30.1
IP.2 = 30.40.50.1
要回答您的问题,确实可以创建证书,以便可以使用SAN属性在服务器A和服务器B上使用该证书