SSL/TLS深度解析

在根证书配置文件里有一个名称约束 nameConstraints nameConstraints = @name_constraints 名称约束，表示签发的二级CA所签发的证书的CN要符合名称约束的规则, permitted;DNS.0=test05.com 表示所签署的证书的CN 要符合 xxxxtest05.com，例如 www.test05.com 或 abc.test05.com ，而不能是 test05.com.xxx 。也不能使用通配符 *； 如果名称约束是 .test05.com , 那么 www.test05.com 也是不行的；而www..test05.com 是可以的，也就是CN的后面必须是名称约束所给定的字符串。

如果是签发客户端证书，名称约束不是非要使用域名，可以自定义一个字符串，例如 cli-admin.a.company 等。

如果是给服务器端签发证书，就要注意签发的证书要在名称约束以内，并且是域名的格式。

[name_constraints]

permitted;DNS.0=test05.com

permitted;DNS.1=test.org

excluded;IP.0=0.0.0.0/0.0.0.0

excluded;IP.1=0:0:0:0:0:0:0:0/0:0:0:0:0:0:0:0