it-swarm.com.de

Muss für das SSL-Zertifikat derselbe Domänenname und der gleiche allgemeine Name verwendet werden?

Ich habe ein SSL-Zertifikat, in dem CN "abc.xyz.com" ist. Die rl, die an Drittanbieter weitergegeben wird, um auf eine Web-App auf unserem Server zuzugreifen, lautet jedoch: "def.stu.com/what-ever".

Wenn diese Vereinbarung seit langer Zeit für eine Drittanbieterorganisation funktioniert, erhält eine neue Organisation, die versucht, auf die URL zuzugreifen, eine SSL-Ausnahme. Demnach muss die URL mit dem allgemeinen Namen übereinstimmen. So etwas wie: abc.xyz.com/what-ever.

Frage:

Ist eine URL wie diese wirklich obligatorisch? Abc.xyz.com/what-ever? Wenn ja, wie konnten andere Integratoren sie bisher erfolgreich aufrufen?

Hinweis: Die meisten Suchanfragen im Internet stimmen damit überein, dass die URL auf dem allgemeinen Namen basieren sollte. Dann fand ich auch heraus, dass wir mehrere Domainnamen unter einem Common Name haben können (Subject Alternative Name [SAN] -Konzept). Aber nein, wo ich ein klares Bild habe. Kann ich ein beliebiges Tool verwenden und prüfen, ob das Zertifikat SAN verwendet? Ich bin vom Entwicklerteam mit begrenzten Sicherheitskenntnissen. Ich werde eine konkrete Antwort auf das erwähnte Verhalten von SSL Cert oder einen Hinweis darauf wirklich zu schätzen wissen.

8
Dexter

Ihr Webbrowser benötigt den Hostnamen in der URL, um mit dem im Zertifikat enthaltenen Namen übereinzustimmen.

Es sollte zuerst die Liste der alternativen Betreffnamen (falls die Erweiterung vorhanden ist) überprüfen, um festzustellen, ob einer der Einträge übereinstimmt, oder, falls keine SAN -Erweiterung vorhanden ist, das Feld für den allgemeinen Namen des Betreffs).

10
Stephane

Die Domain der URL muss mit dem Betreff des Zertifikats übereinstimmen. In früheren Zeiten konnte dies entweder durch Festlegen der Domäne als CN des Zertifikats oder durch Festlegen der Domäne als alternativen Betreffnamen erfolgen. Die Unterstützung für CN war lange Zeit veraltet (mindestens 17 Jahre, siehe RFC 2818) und Chrome Browser sieht nicht einmal mehr auf CN, daher müssen Sie heute die Domain der URL haben Beachten Sie, dass es mehrere alternative Betreffnamen geben kann und das Zertifikat daher für mehrere Domänen verwendet werden kann.

14
Steffen Ullrich

Demnach muss die URL mit dem allgemeinen Namen übereinstimmen. Etwas wie: abc.xyz.com/what-ever.

Sie liegen falsch. Der in einem SSL/TLS-Zertifikat verwendete definierte Name ist nur ein Hostname. Es enthält niemals die Pfadkomponente einer URL - ein Zertifikat, das diesen Text in einem CN enthält, wäre ungültig.

1