1。また、SANに関するルールはありますか?
RFC528 は、サブジェクトの別名を次のように指定します
SubjectAltName ::= GeneralNames
generalNamesは
GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName
したがって、rfc(37ページ)でGeneralNameの「ルール」を検索します。
2。 X.509のサブジェクト代替名に制限はありますか?
章の同じrfcで述べられているように付録B. ASN.1の注釈:
The SIZE (1..MAX) construct constrains the sequence to have at least
one entry. MAX indicates that the upper bound is unspecified
サブジェクトの別名の拡張子は RFC 5280セクション4.2.1.6 で完全に指定されています。
この拡張機能の使用に関するいくつかのルールまたは注意事項は次のとおりです。
サブジェクト名は、サブジェクトフィールドまたはsubjectAltName拡張、あるいはその両方で使用される場合があります。いずれかの
dNSNameがsubjectAltName拡張に存在する場合、allDNS名がそこに含まれる必要があることに注意してください。フィールド。詳細は RFC 2818 を参照してください。証明書に含まれている唯一のサブジェクトIDが代替名形式(電子メールアドレスなど)である場合、サブジェクト識別名は空(空のシーケンス)である必要があり、subjectAltName拡張が存在し、クリティカルとしてマークされている必要があります。
サブジェクトの別名は、サブジェクトの識別名と同じ方法で 名前制約拡張 を使用して制約できます。つまり、CA証明書の名前制約拡張は、証明書内の後続の証明書のすべてのサブジェクト名(代替名を含む)内に名前空間を課すことができますパスを見つける必要があります。
SubjectAltName拡張が存在する場合、シーケンスには少なくとも1つのエントリが含まれている必要があります。上限は定義されていません。実装は、環境に適した上限を自由に選択できます。
サブジェクトフィールドとは異なり、適合CAは、空のGeneralNameフィールドを含むsubjectAltNamesで証明書を発行してはなりません(MUST NOT)。
ワイルドカード文字を含むサブジェクト代替名のセマンティクスは、RFC 5280ではアドレス指定されていません。ただし、 RFC 6125 は、「ワイルドカード文字 '*'は、提示された識別子に含めないでください」