Java如何解析SSL憑證中的伺服器名稱？

了解SSL 憑證伺服器名稱解析

在安全Web 通訊領域，SSL 憑證在驗證伺服器身分方面發揮著至關重要的作用。伺服器名稱解析程序決定如何使用 SSL 憑證中指定的名稱來建立 HTTPS 連線中的信任。

SSL 憑證伺服器名稱如何解析？

RFC 2818 和其後繼 RFC 6125 定義了伺服器名稱驗證的準則。這些標準指定：

• 如果憑證包含「dNSName」類型的「subjectAltName」擴展，則必須將其用作身分。
• 否則，通用名稱 (將使用憑證的「主題」部分中的 CN）欄位。

Java 的 SSL憑證驗證機制

Java 的 SSL 機制遵循 subjectAltName 擴充優先權。如果憑證包含此副檔名，Java將使用指定的網域名稱或IP位址作為身分進行驗證。否則，它將恢復使用 CN 欄位。此行為符合 RFC 2818 中概述的建議最佳實務。

使用 Keytool 包含備用名稱

是的，可以為 SSL 新增備用名稱使用 keytool 的憑證。從 Java 7 開始，keytool 引入了「-ext」選項，它允許您在憑證中包含主題備用名稱 (SAN)。您可以根據您的要求將 SAN 指定為「dns:www.example.com」或「ip:10.0.0.1」。

OpenSSL 作為替代方案

如果您不習慣使用 keytool，OpenSSL 是使用 SAN 產生 SSL 憑證的絕佳選擇。透過修改 openssl.cnf 設定文件，您可以使用「[req]」和「[ v3_req ]」部分指定 subjectAltName 副檔名。此外，您可以使用 OPENSSL_CONF 環境變數為設定檔提供明確位置。

要解決您的問題，您需要驗證您的憑證是否包含正確的伺服器名稱。如果它們只在 CN 欄位中包含 IP 位址，瀏覽器可能會接受它們，但由於缺少 SAN，Java 不會信任它們。透過使用 keytool 或 OpenSSL 將 SAN 新增至您的證書，您可以確保瀏覽器和 Java 都能正確識別您的伺服器名稱。

以上是Java如何解析SSL憑證中的伺服器名稱？的詳細內容。更多資訊請關注PHP中文網其他相關文章！