SSL 인증서 서버 이름 확인은 어떻게 작동하며 대체 이름을 어떻게 추가할 수 있습니까?

SSL 인증서 서버 이름 확인 이해

SSL 인증서 서버 이름 확인은 HTTPS 연결에서 보안 통신을 보장하는 데 중요한 역할을 합니다. 작동 방식과 keytool을 사용하여 대체 이름을 처리하는 방법에 대한 자세한 분석은 다음과 같습니다.

SSL 인증서 서버 이름 확인 방법

클라이언트가 HTTPS 연결을 설정하면, 연결하려는 호스트 이름을 지정하여 서버 이름 표시(SNI) 확장을 서버에 보냅니다. 그런 다음 서버는 CN(일반 이름) 필드 또는 SAN(주체 대체 이름) 확장을 통해 제공된 호스트 이름과 일치하는 SSL 인증서를 제공합니다.

브라우저 동작 및 Java의 확인 메커니즘

브라우저는 일반적으로 호스트 이름 확인을 위해 인증서의 CN 필드를 사용합니다. 그러나 Java의 확인 메커니즘은 주로 SAN 확장을 고려하며 유효한 SAN이 없는 인증서를 거부할 수 있습니다. 이러한 불일치는 앞서 언급한 호스트 이름 확인 표준을 정의하는 RFC에서 발생합니다.

Keytool을 사용하여 대체 이름 추가

keytool을 사용하면 Java 7 이상에서 SAN을 추가할 수 있습니다. -ext 옵션을 사용하는 SSL 인증서. SAN의 구문은 -ext san=dns:www.example.com 또는 -ext san=ip:10.0.0.1입니다.

대안으로서의 OpenSSL

OpenSSL SAN을 요청하는 데에도 사용할 수 있습니다. openssl.cnf 구성 파일에 다음 옵션을 추가합니다.

[req]
req_extensions = v3_req

[ v3_req ]
subjectAltName=IP:10.0.0.1
# or subjectAltName=DNS:www.example.com

런타임에 SAN을 지정하도록 환경 변수를 설정할 수도 있습니다. 자세한 내용은 CRSR.net 기사를 참조하세요.

위 내용은 SSL 인증서 서버 이름 확인은 어떻게 작동하며 대체 이름을 어떻게 추가할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!