Bagaimanakah Aplikasi Java dan Pelayar Berbeza dalam Resolusi Nama Pelayan SSL?

Resolusi Nama Pelayan Sijil SSL

Dalam sijil SSL, nama pelayan diselesaikan terutamanya berdasarkan medan Nama Alternatif Subjek (SAN). Dalam kebanyakan kes, penyemak imbas menggunakan SAN untuk mengesahkan identiti tapak web yang mereka sambungkan. Walau bagaimanapun, aplikasi berasaskan Java nampaknya mempunyai gelagat yang berbeza, bergantung secara eksklusif pada SAN untuk pengesahan nama pelayan.

Mengapa Perbezaannya?

RFC 2818 mentakrifkan bahawa penyemak imbas boleh gunakan sama ada medan Nama Biasa (CN) atau SAN untuk pengesahan nama pelayan. RFC 6125 kemudiannya menghentikan penggunaan CN dan mengesyorkan penggunaan eksklusif SAN. Aplikasi Java biasanya mematuhi RFC 6125, manakala sesetengah penyemak imbas mungkin masih menerima CN atas sebab keserasian.

Menambah Nama Alternatif menggunakan Keytool

Keytool membenarkan penambahan SAN pada SSL sijil menggunakan pilihan "-ext". Arahan berikut boleh digunakan untuk menambah nama alternatif:

-ext san=dns:www.example.com
-ext san=ip:10.0.0.1

Bolehkah saya menggunakan OpenSSL sebaliknya?

Ya, OpenSSL juga boleh digunakan untuk mencipta sijil SSL dengan SAN. Untuk melakukan ini, ubah suai fail konfigurasi "openssl.cnf" seperti berikut:

[req]
req_extensions = v3_req

[ v3_req ]
subjectAltName=IP:10.0.0.1
# or subjectAltName=DNS:www.example.com

Sebagai alternatif, tetapkan pembolehubah persekitaran OPENSSL_CONF ke lokasi fail "openssl.cnf" yang diubah suai.

Atas ialah kandungan terperinci Bagaimanakah Aplikasi Java dan Pelayar Berbeza dalam Resolusi Nama Pelayan SSL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!