Bagaimana Java Menyelesaikan Nama Pelayan dalam Sijil SSL?

Memahami Resolusi Nama Pelayan Sijil SSL

Dalam bidang komunikasi web yang selamat, sijil SSL memainkan peranan penting dalam mengesahkan identiti pelayan . Proses peleraian nama pelayan menentukan cara nama yang dinyatakan dalam sijil SSL digunakan untuk mewujudkan kepercayaan dalam sambungan HTTPS.

Bagaimanakah Nama Pelayan Sijil SSL Diselesaikan?

RFC 2818 dan penggantinya RFC 6125 mentakrifkan garis panduan untuk pengesahan nama pelayan. Piawaian ini menyatakan bahawa:

• Jika sijil mengandungi sambungan "subjectAltName" dengan jenis "dNSName", ia mesti digunakan sebagai identiti.
• Jika tidak, Nama Biasa ( CN) dalam bahagian "Subjek" sijil akan digunakan.

Mekanisme Pengesahan Sijil SSL Java

Mekanisme SSL Java mengikut keutamaan sambungan subjectAltName. Jika sijil mengandungi sambungan ini, Java akan menggunakan nama domain atau alamat IP yang ditentukan sebagai identiti untuk pengesahan. Jika tidak, ia akan kembali menggunakan medan CN. Tingkah laku ini selaras dengan amalan terbaik yang disyorkan yang digariskan dalam RFC 2818.

Pemasukan Nama Alternatif Menggunakan Alat Kekunci

Ya, adalah mungkin untuk menambah nama alternatif pada SSL sijil menggunakan alat kekunci. Sejak Java 7, keytool memperkenalkan pilihan "-ext", yang membolehkan anda memasukkan Nama Alternatif Subjek (SAN) dalam sijil anda. Anda boleh menentukan SAN sebagai "dns:www.example.com" atau "ip:10.0.0.1" berdasarkan keperluan anda.

OpenSSL sebagai Alternatif

Jika anda tidak selesa menggunakan alat kunci, OpenSSL ialah pilihan terbaik untuk menjana sijil SSL dengan SAN. Dengan mengubah suai fail konfigurasi openssl.cnf, anda boleh menentukan sambungan subjectAltName menggunakan bahagian "[req]" dan "[ v3_req ]". Selain itu, anda boleh menggunakan pembolehubah persekitaran OPENSSL_CONF untuk menyediakan lokasi yang jelas untuk fail konfigurasi.

Untuk menyelesaikan isu anda, anda perlu mengesahkan bahawa sijil anda mengandungi nama pelayan yang betul. Jika mereka hanya memasukkan alamat IP dalam medan CN, pelayar boleh menerimanya, tetapi Java tidak akan mempercayainya kerana ketiadaan SAN. Dengan menambahkan SAN pada sijil anda menggunakan sama ada alat kunci atau OpenSSL, anda boleh memastikan bahawa kedua-dua penyemak imbas dan Java mengecam nama pelayan anda dengan betul.

Atas ialah kandungan terperinci Bagaimana Java Menyelesaikan Nama Pelayan dalam Sijil SSL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!