Насправді вам слід використовувати dnsName
записи в subjectAltName
розділі сертифіката для вказівки FQDN, а не частини CN subject
. Використання subject
для цієї мети було припинено з моменту публікації RFC 2818 у 2000 році. Цитування розділу 3.1 :
Якщо є розширення typeAltName типу dNSName, ОБОВ'ЯЗКОВО використовуватись як ідентичність. В іншому випадку ОБОВ'ЯЗКОВО використовуватись (найбільш специфічне) поле загального імені в полі Тема сертифіката. Хоча використання загального імені є існуючою практикою, воно застаріле, і органам із сертифікації рекомендується замість цього використовувати dNSName.
Єдиний випадок, коли вміст subject
релевантних у контексті перевірки сертифікатів сервера - це якщо він не dnsName
включений до цього subjectAltName
, випадок, який був застарілий протягом останніх 17 років на момент написання.
Використання сертифікатів підстановки невикористовується, як показано в розділі 7.2 RFC 6125 :
У цьому документі зазначено, що символ символу «*» НЕ повинен бути включений до представлених ідентифікаторів, але МОЖЕ бути перевірений клієнтами додатків (головним чином задля зворотної сумісності з розгорнутою інфраструктурою).
Використання одного і того ж приватного ключа для декількох служб зазвичай вважається поганою практикою. Якщо одна з послуг буде порушена, зв’язок з іншими службами загрожує небезпекою, і вам доведеться замінити ключ (і сертифікат) для всіх послуг.
Я пропоную RFC 6125 як хороше джерело інформації з цього питання.