基于以下使用TLS配置Haproxy的参考链接:
我是否需要在所有目标节点(或)上使用通用SAN(主题备用名称)生成证书?
拥有没有任何通用SAN的单个证书会起作用吗?
https://serversforhackers.com/c/using-ssl-certificates-with-haproxy
答案 0 :(得分:1)
看看https://security.stackexchange.com/questions/172626/chrome-requires-san-names-in-certificate-when-will-other-browsers-ie-follow:有些浏览器(Chrome)要求名称必须在SAN部分中,因为它们现在完全忽略了CN字段
因此,即使对于一个域证书,您也需要CN(因为这不是可选的)和SAN部分中的域。
它也在CAB Forum requirements的7.1.4.2.1节中:
证书字段:扩展名:subjectAltName
必填/可选:必填
内容:此扩展名必须至少包含一个条目。 每个条目必须是包含完全合格的dNSName 域名或包含服务器IP地址的iPAddress。 CA必须确认申请人控制了完全合格 域名或IP地址,或已被授予使用它的权利 域名注册人或IP地址受让人(视情况而定)。 允许使用通配符FQDN。
请注意,有些其他浏览器(例如Firefox)会改回CN,请参见https://bugzilla.mozilla.org/show_bug.cgi?id=1245280,并在https://hg.mozilla.org/mozilla-central/rev/dc40f46fae48上查看security.pki.name_matching_mode配置选项的修补程序开头。