これら3つの項目について
VPNに関するCommon Name CN
の意味は何ですか?認証局はゲートウェイ証明書のCNを持っている必要がありますか? VPNに関連するCNに関するその他の情報があればすばらしいでしょう。
それらは証明書の信頼性のためにどのように使用されますか?
必要に応じて、StrongSwan v5.xを使用しています。
歴史的に、証明書の識別名(X.500で指定)はエンティティを指定するためのものでしたDirectory内。これは、ID管理データ用のグローバルな世界規模のツリー構造リポジトリです。ディレクトリは [〜#〜] dns [〜#〜] に似た方法で、サブサーバーへの委任を持つ巨大なLDAPサーバーと考えることができます。ただし実際には、ディレクトリは存在しなかったため、LDAPはDirectory Access Protocolの実用的なサブセットです。それでも、命名原則は引き続き有効です。
DNは、タイプされた名前付き要素の順序付けされたシーケンスであり、ディレクトリの場合、国、州または県、組織、組織単位(場合によっては複数)、次に一般名の順序で来る必要があります。 X.500はかなり制限がなく、他の順序も可能です(そしてこのフォーマットは、同じレベルに複数の名前要素を置くことをサポートします)。したがって、エンティティの共通名、anyエンティティは、最も正確な命名要素です。
ディレクトリは実際には存在しないため、次の制限に従って、必要なほぼすべてのものを共通名に含めることができます。
UTF8String
を使用する場合は64コードポイント)。IssuerDN
は、発行者のSubjectDN
と等しい必要があります。等価ルールは理論的には大文字と小文字を区別しませんが、完全なUnicodeの世界で実装するにはルールが複雑になる可能性があるため、バイトごとの等価性があることを確認してください。Subject Alt Name
拡張機能は通常使用されますが、この拡張機能がない場合は、共通名がバックアップとして機能します。 SSLクライアントの実装は常に関連するRFCに厳密に準拠しているとは限らないため、SSLサーバーの証明書にサーバーのDNS名が共通名(完全修飾)として含まれている場合、問題を回避するのが最善です"security.stackexchange.com
"のような名前)。VPNサーバーの場合、クライアントからの証明書はサーバーの唯一の使用のためのものです。サーバーは、サブジェクトDNとその共通名を含む証明書の内容を、完全に無視することを含め、適切と思われる方法で解釈します。たとえば、Microsoft IIS + Active Directoryコンテキストでは、クライアントが証明書を通じて認証されると、サーバーはUser Principal Nameを使用します。 Microsoft固有のOIDに基づくSubject Alt Name
拡張。共通名は、人間のユーザーがいる場合(証明書選択ポップアップの一部としてなど)、人間のユーザーには表示されますが、認証の目的では無視されます。
一般的に、クライアントの証明書には、VPNサーバーが使用する認証システムに必要なものをすべて含める必要があります。これは高度に構成可能であるため、ローカルコンテキストに大きく依存します。たとえば、VPNサーバーは認証を [〜#〜] radius [〜#〜] サーバーに委任できます。この場合、証明書の特性(一般名を含む)はRADIUSサーバーのドキュメント。 VPNサーバーの場合、これは単なる不透明なblobになります。
意味は、特定の実装とインストールによって異なります。通常、特定のVPNコンシューマを識別します。ユーザー、ホスト、または構成セットであること。
通常、署名パスは証明書が許可されるかどうかを決定しますが、CNはwhichが許可される証明書を決定します。