3
X509v3可以包含IP地址字段subject Alternative Name擴展名。X509使用者替代名稱(subjectAltName)IP地址字段
- 作爲驗證服務器身份的應用程序,應如何驗證IP地址字段?
- 如果DNS名稱和IP地址都存在?有一個優於另一個?
dirName字段有什麼用?
A
回答
3
我之前讀過RFC 2818,但一定是錯過了這部分。
In some cases, the URI is specified as an IP address rather than a
hostname. In this case, the iPAddress subjectAltName must be present
in the certificate and must exactly match the IP in the URI.
0
我的回答是基於我對TLS/SSL的經驗。
- 它基於證書驗證的實施。要強制執行
IP地址匹配,您必須執行該操作。 - 無論你想要什麼。你也可以檢查兩者。
- 抱歉不知道這個字段是幹什麼的。
您是否已勾選OpenSSL documentation?
+0
是的,我已檢查過該文件,並且比that.I沒有找到任何上述任何令人信服的答案。現在我更傾向於查看鉻瀏覽器的源代碼,看看它如何處理這個領域,如果沒有什麼幫助的話。 問題不是我必須做的,而是應該做些什麼。 – PnotNP 2012-02-07 23:21:53
+0
我認爲瀏覽器會檢查這個字段,如果域名不符合'CN'。 – rekire 2012-02-07 23:31:12
+0
這似乎並不正確。這可能會造成安全漏洞。如果用戶提供了一個主機名(DNS名稱),那麼我們應該只將它與主題替代名稱的DNS名稱字段進行匹配,而不能與IP地址字段進行匹配。而用戶提供的IP地址只有主題替代名稱的IP地址字段。 – PnotNP 2012-02-08 01:28:16
相關問題
- 1. x509證書使用者替代名稱
- 2. 用ip地址代替域名的postfix
- 3. java.security.cert.CertificateException:沒有與IP地址匹配的主題替代名稱
- 4. django:使用ip地址代替域名時禁用PREPEND_WWW
- 5. 使用ip地址代替cookie的域名
- 6. 替換IP地址?
- 7. IP地址NetBIOS/FQDN名稱在Java/Android
- 8. 從IP地址確定公司名稱
- 9. 從接口名稱查找IP地址
- 10. 獲取遠程名稱地址(非IP)
- 11. 來自IP地址的DNS名稱
- 12. 使用Regexep替換/刪除IP地址
- 13. IP地址所有者
- 14. 使用sed替換IP地址的數字(保留字符數)
- 15. 在java中獲取os名稱,ip地址,mac地址
- 16. Java的IP地址,MAC地址返回與設備的名稱
- 17. Pentaho字段名稱使用預定替代值轉換
- 18. 迭代IP地址
- 19. 替換字段名稱
- 20. 使用IP地址確定移動運營商名稱
- 21. 使用名稱而不是IP地址連接到服務器
- 22. XAMPP設置使用名稱而不是IP地址
- 23. 使用SignalR與IP地址而不是計算機名稱
- 24. 在java中使用ip地址獲取國家名稱
- 25. Magento的 - 產品通過國家使用名稱IP地址
- 26. 刪除IP地址別名使用C#
- 27. 使用正則表達式替換另一個IP地址的IP地址
- 28. 使用代理名稱,而不是IP作爲SNMP4J中的地址
- 29. HttpParty代理IP地址使用
- 30. 使用VB.Net的IP地址代碼
請注意,並非所有實現對此都是嚴格的。 [Java](http://stackoverflow.com/a/8444863/372643)相當嚴格,但許多瀏覽器更寬容(有些人認爲這是Java的問題)。通常,不推薦使用證書中的IP地址。 (如果你通常閱讀這些內容,你也可能對[RFC 6125,第7.1.2節](http://tools.ietf.org/html/rfc6125#section-1.7.2)的第二段感興趣。如果你超越HTTPS,RFC 6125也是一個很好的規範。) – Bruno 2012-02-09 12:36:23
你是對的IP地址不建議在證書上。剛剛檢查過'鉻'瀏覽器的源代碼,他們檢查IP地址。我會將這個問題標記爲鉻源,看看其他人是否有任何意見。順便感謝那個RFC。 – PnotNP 2012-02-09 22:45:46