Comment Java résout-il les noms de serveur dans les certificats SSL ?

Comprendre la résolution du nom du serveur de certificats SSL

Dans le domaine de la communication Web sécurisée, les certificats SSL jouent un rôle essentiel dans la vérification de l'identité des serveurs . Le processus de résolution de noms de serveur détermine la manière dont les noms spécifiés dans les certificats SSL sont utilisés pour établir la confiance dans les connexions HTTPS.

Comment les noms de serveurs de certificats SSL sont-ils résolus ?

RFC 2818 et son successeur, la RFC 6125, définit les lignes directrices pour la vérification du nom du serveur. Ces standards précisent que :

• Si le certificat contient une extension "subjectAltName" de type "dNSName", il doit être utilisé comme identité.
• Sinon, le Common Name ( CN) dans la section « Objet » du certificat sera utilisé.

Vérification du certificat SSL de Java Mécanisme

Le mécanisme SSL de Java suit la priorité de l'extension subjectAltName. Si un certificat contient cette extension, Java utilisera le nom de domaine ou l'adresse IP spécifié comme identité à des fins de vérification. Sinon, il reviendra à l'utilisation du champ CN. Ce comportement est conforme aux meilleures pratiques recommandées décrites dans la RFC 2818.

Inclusion de noms alternatifs à l'aide de Keytool

Oui, il est possible d'ajouter des noms alternatifs à un SSL certificat à l’aide de keytool. Depuis Java 7, keytool a introduit l'option "-ext", qui vous permet d'inclure un nom alternatif de sujet (SAN) dans votre certificat. Vous pouvez spécifier le SAN comme "dns:www.example.com" ou "ip:10.0.0.1" en fonction de vos besoins.

OpenSSL comme alternative

Si vous n'êtes pas à l'aise avec l'utilisation de keytool, OpenSSL est une excellente option pour générer des certificats SSL avec des SAN. En modifiant le fichier de configuration openssl.cnf, vous pouvez spécifier l'extension subjectAltName à l'aide des sections "[req]" et "[ v3_req ]". De plus, vous pouvez utiliser la variable d'environnement OPENSSL_CONF pour fournir un emplacement explicite pour le fichier de configuration.

Pour résoudre votre problème, vous devez vérifier que vos certificats contiennent les noms de serveur corrects. S'ils incluent uniquement des adresses IP dans le champ CN, les navigateurs peuvent les accepter, mais Java ne leur fera pas confiance en raison de l'absence de SAN. En ajoutant des SAN à vos certificats à l'aide de keytool ou d'OpenSSL, vous pouvez vous assurer que les navigateurs et Java reconnaissent correctement les noms de vos serveurs.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!