12
Есть ли какой-либо предел для альтернативных имен объектов в X.509? Также есть ли какие-либо правила для SAN?Максимальное количество SAN (альтернативных имен объектов) разрешено
A
ответ
11
1. Также существуют ли какие-либо правила для SAN?
RFC5280 определяет субъектные альтернативные имена, как
SubjectAltName ::= GeneralNames
причем GeneralNames являются
GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName
Итак, посмотрим на итоги 'правила' для более GeneralName в RFC (стр 37).
2. Есть ли какой-либо предел для альтернативных имен объектов в X.509?
Как указано в том же документе RFC в главе Приложение B. ASN.1 Примечания:
The SIZE (1..MAX) construct constrains the sequence to have at least
one entry. MAX indicates that the upper bound is unspecified
+10
* MAX указывает, что верхняя граница не указана * - Приведенное ниже предложение также важно: ** Реализации могут свободно выбирать верхнюю границу, которая соответствует их окружению ** – mkl
4
Субъект расширение Alternative Name полностью определяется RFC 5280 section 4.2.1.6.
Некоторые правила или заметки об использовании этого расширения включают в себя:
Название объекта может быть осуществляется в предметной области и/или расширения SubjectAltName. Обратите внимание, что если в расширении subjectAltName присутствует
dNSName, то все Здесь должны быть указаны DNS-имена, в том числе те, которые указаны в поле имени темы. См. RFC 2818.Если единственный предмет идентичность включена в сертификате форма альтернативного имени (например, адрес электронной почты,), то Отличительного имя должна быть пустой (пустая последовательность), а также расширение SubjectAltName MUST присутствовать и обозначаться как критическое.
Тема альтернативных имен МОЖЕТ быть ограничена таким же образом, как и Тема отличает имена, используя name constraints extension. То есть расширение ограничений имен в сертификате CA может наложить пространство имен, в котором должны быть указаны все имена субъектов (включая альтернативные имена) в последующих сертификатах по пути сертификации.
Если присутствует расширение subjectAltName, последовательность ДОЛЖНА содержать как минимум одну запись. Верхняя граница не определена; реализации могут свободно выбирать верхнюю границу, которая соответствует их окружению.
В отличие от поля subject, соответствующие CAs ДОЛЖНЫ НЕ выдавать сертификаты с subjectAltNames, содержащими пустое поле GeneralName.
Семантика альтернативных имен объектов, которые включают подстановочные знаки , не адресуемые RFC 5280.Однако RFC 6125 государство «подстановочный символ„*“не должно быть включено в представленных идентификаторах»
Можете ли вы уточнить, что вы подразумеваете под «есть какое-то правило для SAN?» – frasertweedale
@frasertweedale правила как, он не должен содержать домен, отличный от CN, или подстановочный знак не должен находиться в SAN –
Thanks; Я включил информацию по этим темам в свой ответ. – frasertweedale