Bagaimanakah Resolusi Nama Pelayan Sijil SSL Berfungsi, dan Bagaimana Saya Boleh Menambah Nama Alternatif?

Memahami Resolusi Nama Pelayan Sijil SSL

Resolusi nama pelayan sijil SSL memainkan peranan penting dalam memastikan komunikasi selamat dalam sambungan HTTPS. Berikut ialah pecahan terperinci tentang cara ia berfungsi dan cara menangani nama alternatif menggunakan alat kekunci:

Cara Nama Pelayan Sijil SSL Diselesaikan

Apabila pelanggan mewujudkan sambungan HTTPS, ia menghantar sambungan Petunjuk Nama Pelayan (SNI) kepada pelayan, menyatakan nama hos yang ingin disambungkan. Pelayan kemudiannya membentangkan sijil SSL yang sepadan dengan nama hos yang disediakan, sama ada melalui medan Nama Biasa (CN) atau sambungan Nama Alternatif Subjek (SAN).

Gelagat Penyemak Imbas dan Mekanisme Pengesahan Java

Pelayar biasanya menggunakan medan CN sijil untuk pengesahan nama hos. Walau bagaimanapun, mekanisme pengesahan Java terutamanya mempertimbangkan sambungan SAN dan mungkin menolak sijil tanpa SAN yang sah. Percanggahan ini timbul daripada RFC yang disebutkan di atas yang mentakrifkan piawaian pengesahan nama hos.

Menambah Nama Alternatif Menggunakan Keytool

keytool, dalam Java 7 dan kemudian, membolehkan anda menambah SAN ke Sijil SSL menggunakan pilihan -ext. Sintaks untuk SAN ialah -ext san=dns:www.example.com atau -ext san=ip:10.0.0.1.

OpenSSL sebagai Alternatif

OpenSSL juga boleh digunakan untuk meminta SAN. Dalam fail konfigurasi openssl.cnf, tambahkan pilihan berikut:

[req]
req_extensions = v3_req

[ v3_req ]
subjectAltName=IP:10.0.0.1
# or subjectAltName=DNS:www.example.com

Anda juga boleh menetapkan pembolehubah persekitaran untuk menentukan SAN pada masa jalan. Rujuk artikel CRSR.net untuk butiran lanjut.

Atas ialah kandungan terperinci Bagaimanakah Resolusi Nama Pelayan Sijil SSL Berfungsi, dan Bagaimana Saya Boleh Menambah Nama Alternatif?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!