SSL/TLS深度解析 | 您所在的位置:网站首页 › nginx配置crt证书 › SSL/TLS深度解析 |
在根证书配置文件里有一个名称约束 nameConstraints nameConstraints = @name_constraints 名称约束,表示签发的二级CA所签发的证书的CN要符合名称约束的规则, permitted;DNS.0=test05.com 表示所签署的证书的CN 要符合 xxxxtest05.com,例如 www.test05.com 或 abc.test05.com ,而不能是 test05.com.xxx 。也不能使用通配符 *; 如果名称约束是 .test05.com , 那么 www.test05.com 也是不行的;而www..test05.com 是可以的,也就是CN的后面必须是名称约束所给定的字符串。 如果是签发客户端证书,名称约束不是非要使用域名,可以自定义一个字符串,例如 cli-admin.a.company 等。 如果是给服务器端签发证书,就要注意签发的证书要在名称约束以内,并且是域名的格式。 [name_constraints] permitted;DNS.0=test05.com permitted;DNS.1=test.org excluded;IP.0=0.0.0.0/0.0.0.0 excluded;IP.1=0:0:0:0:0:0:0:0/0:0:0:0:0:0:0:0 |
CopyRight 2018-2019 实验室设备网 版权所有 |