Java 应用程序和浏览器在 SSL 服务器名称解析方面有何不同？

SSL 证书服务器名称解析

在 SSL 证书中，服务器名称主要根据主题备用名称 (SAN) 字段进行解析。在大多数情况下，浏览器使用 SAN 来验证它们所连接的网站的身份。然而，基于 Java 的应用程序似乎有不同的行为，完全依赖 SAN 进行服务器名称验证。

为什么有区别？

RFC 2818 定义浏览器可以使用通用名称 (CN) 或 SAN 字段进行服务器名称验证。 RFC 6125 后来弃用了 CN，并建议专门使用 SAN。 Java 应用程序通常遵守 RFC 6125，而某些浏览器出于兼容性原因可能仍接受 CN。

使用 Keytool 添加备用名称

Keytool 允许将 SAN 添加到 SSL使用“-ext”选项的证书。可以使用以下命令添加备用名称：

-ext san=dns:www.example.com
-ext san=ip:10.0.0.1

我可以使用 OpenSSL 代替吗？

是的，OpenSSL 也可以用于创建 SSL 证书SAN。为此，请按如下方式修改“openssl.cnf”配置文件：

[req]
req_extensions = v3_req

[ v3_req ]
subjectAltName=IP:10.0.0.1
# or subjectAltName=DNS:www.example.com

或者，将环境变量 OPENSSL_CONF 设置为修改后的“openssl.cnf”文件的位置。

以上是Java 应用程序和浏览器在 SSL 服务器名称解析方面有何不同？的详细内容。更多信息请关注PHP中文网其他相关文章！