LINUX.ORG.RU
решено ФорумAdmin

x509: если используется SAN, нужно ли включать в него CN ?

 


0

1

Доброго времени суток

Сабж. При создании запроса на сертификат с использованием multi-domain certificate всегда добавлял Common Name в список Subject Alternative Name. Но непосредственно закупкой у CA занимаюсь не я. И в этот раз хотят по-максимуму сэкономить, т.к. добавление SAN платное.

Можно ли в списке SAN не указывать CN?

★★★★★

За образец взял let's encrypt. Они тоже включают CN в SAN, значит нужно

router ★★★★★ ()

Если есть хоть какой-то SAN, CN не используется при проверке. Совсем никак.

DonkeyHot ★★★★★ ()

Из RFC2818:

   If a subjectAltName extension of type dNSName is present, that MUST
   be used as the identity. Otherwise, the (most specific) Common Name
   field in the Subject field of the certificate MUST be used. 

Да и вообще CN - устаревшая вещь:

   Although the use of the Common Name is existing practice, it is
   deprecated and Certification Authorities are encouraged to use the
   dNSName instead.

bigbit ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.