web-dev-qa-db-ja.com

SSL証明書には同じドメイン名と共通名が必要ですか?

[〜#〜] cn [〜#〜]が「abc.xyz.com "であるSSL証明書を持っています。ただし、サーバー上のWebアプリにアクセスするためにサードパーティ組織に共有されるrlは、「def.stu.com/what-ever "です。

この仕組みが長い間サードパーティの組織で機能している場合、URLにアクセスしようとする新しい組織はSSL例外を受け取ります。彼らによれば、URLは一般名と一致している必要があります。次のようなもの:abc.xyz.com/what-ever.

質問:

このようなabc.xyz.com/what-everのようなURLを持つことは本当に必須ですか?はいの場合、他のインテグレーターはこれまでどのようにして正常に呼び出すことができましたか?

注:インターネットでの検索のほとんどは、URLが一般名に基づいている必要があるという点に同意しています。次に、1つの共通名の下に複数のドメイン名を付けることができることもわかりました(サブジェクトの別名(SAN)の概念)。しかし、明確な画像がどこにあるかはわかりません。証明書がSANを使用しているかどうか、任意のツールを使用して確認できますか?私はセキュリティに関する知識が限られた開発チームの出身です。 SSL Certの言及された動作に対する具体的な回答、またはそれに向けたいくつかの指針に本当に感謝します。

8
Dexter

Webブラウザーでは、証明書の内容と一致するURLのホスト名が必要です。

最初に代替サブジェクト名リスト(拡張子が存在する場合)をチェックして、一致するエントリがあるかどうか、またはSAN拡張子がない場合は、サブジェクトの共通名フィールド。

10
Stephane

URLのドメインは、証明書のサブジェクトと一致する必要があります。以前は、これは、ドメインを証明書のCNとして設定するか、ドメインをサブジェクトの別名として設定することで可能でした。 CNのサポートは長い間(少なくとも17年間、RFC 2818を参照)非推奨であり、ChromeブラウザはCNを見てさえいないので、今日はURLのドメインが必要ですサブジェクト代替名として複数のサブジェクト代替名が存在する可能性があるため、証明書を複数のドメインで使用できることに注意してください。

14
Steffen Ullrich

彼らによれば、URLは一般名と一致している必要があります。何かのようなもの: abc.xyz.com/what-ever

彼らは間違ってる。 SSL/TLS証明書で使用される識別名は、単なるホスト名です。 URLのパスコンポーネントは決して含まれません-そのテキストをCNに含めた証明書は無効になります。

1