自签名证书
签发后的CA证书可以进行扩展,分为私有扩展和标准扩展,私有扩展针对的是自签名证书,即由用户自己签发的证书,而非CA机构签发的,一般浏览器也不会集成有字签名证书的根证书,所以访问这类网站时,浏览器会提示给证书是不安全的,可能是伪造的。当然用户也可以选择信任该证书,然后继续TLS/SSL的握手过程,完成握手后,TLS/SSL仍然提供数据加密等完整性保护。自签名证书通常是内部使用,或者用在测试环境里,根据证书能否被吊销,又分为自签名私有证书和自签名CA证书,自签名私有证书是无法吊销的,而自签名CA证书可以吊销,这里不详细展开。
证书的标准扩展
回到证书扩展,对自签名证书进行的扩展称为私有扩展,对于标准的由CA机构签发的证书进行扩展为标准扩展。可扩展项有很多,SAN扩展,密钥标识符,密钥用法和基本约束等。
SAN扩展
SAN扩展,即Subject Alternative Name,用户可选择名称。subjectAltName属性项包含了IP地址,域名和电子邮件地址等,且这些属性的值可以不止一个,例如域名,拿域名来举例,在CA证书里,一张证书被多个域名拥有,则要在使用者Subject子项里放入一个主域名,然后在SAN扩展中放入其他的域名,