Nombre Maximum de SAN (subject alternative names) a permis de

Est-il une limite pour les autres noms de l'objet dans X. 509? Aussi existe-il des règles pour le SAN?

Pouvez-vous préciser ce que vous entendez par "y at-il des règles pour le SAN?"
des règles comme, il ne doit pas contenir de domaine différent de CN, ou un caractère générique ne doit pas être à SAN
Merci; j'ai compris de l'information sur ces sujets, dans ma réponse.

OriginalL'auteur vaibhav magar | 2015-07-03

  1. 12

    1. Aussi existe-il des règles pour le SAN?

    RFC5280 spécifie autres Noms de l'Objet comme

    SubjectAltName ::= GeneralNames

    lequel GeneralNames sont

    GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName

    Regardez les 'règles' pour un GeneralName dans la rfc (page 37).

    2. Est-il une limite pour les autres noms de l'objet dans X. 509?

    Comme indiqué dans le même rfc dans le chapitre l'Annexe B. l'ASN.1 Notes:

    The SIZE (1..MAX) construct constrains the sequence to have at least
one entry.  MAX indicates that the upper bound is unspecified
    MAX indique que la limite supérieure n'est pas spécifié - La phrase par la suite aussi est important: les Implémentations sont libres de choisir une limite supérieure qui convient à leur environnement

    OriginalL'auteur Manuel

  2. 5

    Autre Nom de l'Objet de l'extension est entièrement spécifié par RFC 5280 section 4.2.1.6.

    Quelques règles ou des notes sur l'utilisation de cette extension comprennent:

    • Le nom d'objet PEUT être
      porté dans le champ de l'objet et/ou l'extension subjectAltName. Notez que si tout dNSName est présent dans l'extension subjectAltName, puis tous noms DNS doit être inclus, y compris ceux dans le champ nom d'objet. Voir RFC 2818 pour plus de détails.

    • Si le seul sujet de l'identité inclus dans le certificat est
      un autre nom de la forme (par exemple, une adresse de courrier électronique), puis le
      sujet nom unique DOIT être vide (une séquence vide), et la
      extension subjectAltName DOIT être présent et marquée comme critique.

    • Autres noms de l'objet PEUT être contraint de la même manière que
      sous réserve des noms uniques à l'aide de la nom de l'extension des contraintes de. Qui est, le nom de l'extension des contraintes sur un certificat d'autorité de certification peut imposer un espace de nom dans lequel tous les noms d'objet (y compris les autres noms)
      ultérieure des certificats dans un chemin d'accès de certification DOIT être situé.

    • Si l'extension subjectAltName est présent, la séquence DOIT contenir
      au moins une entrée. Pas de limite supérieure est définie; implémentations sont libres de choisir une limite supérieure qui convient à leur environnement.

    • À la différence de la discipline, de la conformation de la Sae DOIT
      PAS de délivrer des certificats avec subjectAltNames contenant vide
      GeneralName champs.

    • La sémantique d'autres noms de l'objet qui comprennent
      les caractères génériques sont
      n'est pas traitée par la RFC 5280. Cependant, RFC 6125 stipule que "le caractère générique '*' ne DOIT PAS être inclus dans le présenté des identifiants"

    OriginalL'auteur frasertweedale