Bagaimanakah Resolusi Nama Pelayan Sijil SSL Berfungsi?

Menyahkodkan Resolusi Nama Pelayan Sijil SSL

Memahami resolusi sijil SSL adalah penting untuk mewujudkan komunikasi yang selamat. Mari terokai soalan anda dan berikan jawapan yang komprehensif.

Resolusi Nama Pelayan untuk Sijil SSL

RFC 2818 dan RFC 6125 mentakrifkan pengesahan nama hos untuk sijil SSL. Sekiranya tiada Nama Alternatif Subjek (SAN) "dNSName", medan Common Name (CN) digunakan. Walau bagaimanapun, penggunaan CN telah ditamatkan dan SAN lebih diutamakan.

Gelagat Penyemak Imbas vs. Mekanisme Java

Pelayar sering mengendalikan nama pelayan berasaskan CN secara berbeza, membenarkan sambungan walaupun semasa CN tidak sepadan dengan domain. Java, sebaliknya, mematuhi RFC dengan ketat, hanya menerima SAN atau CN yang sepadan.

Menambah Nama Alternatif Menggunakan Keytool

Alat kunci Java kini termasuk "- ext" untuk menambah SAN pada sijil. Gunakan "-ext san=dns:www.example.com" atau "-ext san=ip:10.0.0.1" untuk memasukkan nama alternatif yang diingini.

OpenSSL sebagai Alternatif

Jika anda memilih untuk tidak menggunakan alat kunci, OpenSSL boleh digunakan untuk tujuan ini. Dengan mengubah suai openssl.cnf atau menetapkan pembolehubah persekitaran "OPENSSL_CONF", anda boleh mengkonfigurasi OpenSSL untuk meminta SAN dalam sijil.

Contoh Konfigurasi untuk OpenSSL

Dalam openssl. cnf, tambah yang berikut di bawah "[req]" dan "[v3_req]" bahagian:

[req]
req_extensions = v3_req

[ v3_req ]
subjectAltName=IP:10.0.0.1
# or subjectAltName=DNS:www.example.com

Helah Pembolehubah Persekitaran Alternatif

Sebagai alternatif, anda boleh menetapkan pembolehubah persekitaran untuk menentukan SAN. Rujuk http://www.crsr.net/Notes/SSL.html untuk butiran.

Atas ialah kandungan terperinci Bagaimanakah Resolusi Nama Pelayan Sijil SSL Berfungsi?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!