x509-subjectAltName

于 2023-03-14 08:36:48 发布
阅读量959 收藏
点赞数
分类专栏: x509证书 文章标签: 安全 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liudong200618/article/details/129497100
版权

java解析密钥格式

https://www.cnblogs.com/duwenlei/p/4317666.html

Java bouncycastle API 创建 CSR 和签发证书

Java bouncycastle API 创建 CSR 和签发证书_albon_arith的博客-CSDN博客

subjectAltName 在 RFC 5280 4.2.1.6. 中提供了详细的说明,subjectAltName 是 X.509 version 3 的一个扩展项,该扩展项用于标记和界定证书持有者的身份。

在 X.509 格式的证书中,一般使用 Issuer 项标记证书的颁发者信息,该项必须是一个非空的 Distinguished Name 名称。除此之外还可以使用扩展项 issuerAltName 来标记颁发者的其他名称,这是一个非关键的扩展项。

对于证书持有者,一般使用 Subject 项标记,并使用 subjectAltName 扩展项提供更详细的持有者身份信息。 subjectAltName 全称为 Subject Alternative Name,缩写为 SAN。它可以包括一个或者多个的电子邮件地址,域名,IP地址和 URI 等,详细定义如下:

SubjectAltName ::= GeneralNames

GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName

GeneralName ::= CHOICE {

otherName [0] OtherName,

rfc822Name [1] IA5String,

dNSName [2] IA5String,

x400Address [3] ORAddress,

directoryName [4] Name,

ediPartyName [5] EDIPartyName,

uniformResourceIdentifier [6] IA5String,

iPAddress [7] OCTET STRING,

registeredID [8] OBJECT IDENTIFIER}
 

当颁发的证书不存在 Subject 项的时候,证书必须包含扩展项 subjectAltName,并且标记为关键(critical)的。当颁发的证书存在 Subject 项的时候,必须将扩展项 subjectAltName 标记为非关键(no-critical)的。注意:用于颁发证书的 CA 证书是必须包含 Subject 项的。

根据 RFC 6125 中的规定,当一个网站使用证书标记自己的身份时,如果证书中包含 subjectAltName,在识别证书持有者时会忽略 Subject 子项,而是通过 subjectAltName 来识别证书持有者。在早期颁发的证书中一般通过 Subject 的 CommonName 来识别持有者的身份,不包含 subjectAltName 扩展项。这会导致最新版本的浏览器Chrome、Firefox 等在通过 HTTPS 访问 web 网站时,触发 NET::ERR_CERT_COMMON_NAME_INVALID 错误。
 

 

SofterICer
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
介绍一下 X.509 数字证书中的扩展项 subjectAltName
henter的专栏
06-09 1万+
在 RFC 5280《Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile》中定义了 X.509 公钥数字证书和证书撤销列表的内容和格式。 在 X.509 编码格式的数字证书中,使用 Issuer 子项标明证书的颁发者,I...
【openssl学习笔记】SSL Server Cert制作
千里之堤
04-24 1250
openssl req -new -x509 -keyout ca.pem -out ca.crt -config openssl.cfg openssl req -new -key server.pem -config openssl.cfg -out server.csr openssl ca -in server.csr -out server.crt -config openssl
【HTTPS】使用OpenSSL生成带有SubjectAltName的自签名证书
Mlib
11-01 1万+
操作步骤 首先新建一个配置文件 ssl.conf如下: [ req ] default_bits = 4096 distinguished_name = req_distinguished_name req_extensions = req_ext [ req_distinguished_name ] countryName = Country...
OpenSSL自签发配置有多域名或ip地址的证书
热门推荐
山鬼谣的专栏
12-12 3万+
环境翻译加实践概述HTTPS服务是工作在SSL/TLS上的HTTP。 首先简单区分一下HTTPS,SSL ,TLS ,OpenSSL这四者的关系: SSL:(Secure Socket Layer,安全套接字层)是在客户端和服务器之间建立一条SSL安全通道的安全协议; TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性; TLS
如何使用OpenSSL生成带有SubjectAltName的自签名证书?
Crystal360的博客
02-08 9867
我试图生成一个自签名证书与OpenSSL with SubjectAltName in.While我生成证书的csr,我的猜测是我必须使用OpenSSL x509的v3扩展。我在用 :openssl req -new -x509 -v3 -key private.key -out certificate.pem -days 730有人可以帮我确切的语法吗?Can someone help me w...
Java基于BC生成X509v3证书,以及部分扩展Extension的使用
07-09
Java基于BC生成X509v3证书,以及部分扩展Extension的使用,如:BasicConstraints、CRLDIstPoint、CertificatePolicies、PolicyMappings、KeyUsage、ExtendedKeyUsage、SubjectAlternativeName、AuthorityInfoAccess、AuthorityKeyIdentifier、SubjectKeyIdentifier、NameConstraints。
Windows 下使用 OpenSSL 命令行创建包含 subjectAltName 扩展项的数字证书
henter的专栏
07-28 5061
1. CA 的基本原理简介(了解相关背景知识的读者请跳过这一部分) 我们回想一下在生活中,两个以前从未谋面的人如何核实对方的身份。由于每一个公民都有派出所颁发的身份证,两个人只要通过查看对方的身份证,就可以大体上知道对方是谁。这个验证身份的过程如下图: 在互联网上,识别陌生实体的思路与上述过程类似。首先建立一个有公信力的认证机构 CA(即Certificate...
X509证书基本概念
marylgao技术专栏
04-10 9154
编码格式 x509证书主要有2种编码格式,一种是DER格式,另一种是PEM格式。 1. DER格式 二进制格式。der类型的不用在编码解码,直接就是二进制的数据可以直接使用 2.PEM格式 PEM格式数据要根据base64编码解码后,得到的数据需要进行增加或裁剪特殊字符-、\n、\r、begin信息、end信息等。 下面一个例子就是PEM格式的私钥文件, 以-----BEGIN PRIVATE KEY----开头, 以-----END PRIVATE KEY-----结尾。 -----BEGIN PRIV
没有匹配的证书主体别名 (Subject Alternative Name),加入no-check-certificate 即可成功安装
菜鸟先飞的博客
09-17 1764
连接到www.kernel.org不安全,使用“不检查证书” 加入no-check-certificate 即可成功安装 [root@localhost ~]# wget --no-check-certificate 'https://www.xxxxxxxxxxxxxxxxxx.com/git-2.0.5.tar.gz' 。 。 。 100%[======================================>] 4,910,412 180K/s in 36s .
使用 OpenSSL 制作一个包含 SAN(Subject Alternative Name)的证书
u011599033的博客
05-06 2756
准备好目录 生成 CA 2.1 生成私钥 openssl ecparam -genkey -name secp256r1 |openssl ec -out private/ca.key.pem 2.2 使用 ECC 算法生成 256 位 CA 私钥 生成自签署证书,类型由 openssl.cnf 中配置的扩展字段指定为 CA 证书类型 openssl req -config openssl.cnf -key private/ca.key.pem -new -x509 -days 7300 -sha2.
ssl-self-signed:为您的domainIP生成自签名的SSL证书
05-26
ssl自签名 为您的域/ IP生成100年的自签名ssl证书。 已要求 Linux 安装 npm install ssl-self-signed 例子 var sss = require ( 'ssl-self-signed' ) ; // auto generate CA ... commonName : '192.168.56.101' , ...
certify:使用“subjectAltName”扩展名创建自签名证书
06-19
Certify 使用“subjectAltName”扩展名创建并自签名 X.509 SSL/TLS 证书。 介绍 首先要做的事情是:如果您想要在面向公众的 https 网站上使用 SSL/TLS 证书,请前往并购买。 这是目前为访问者可靠地验证和加密网站的...
sslfie, 生成自签名 x.509 证书以便与 SSL/TLS 一起使用.zip
09-18
sslfie, 生成自签名 x.509 证书以便与 SSL/TLS 一起使用 SSLfie生成自签名 x.509 证书,用于 ssl/tls协议。一目了然:在一个证书中支持多个域名,使用 SubjectAltName字段。Trivial自动化- 唯一需要的参数是域名默认...
golangci-web:GolangCI网站
05-02
发展准备SSL证书您需要为本地球童生成(现代浏览器不允许使用默认的自签名球童证书): mkdir -p sslopenssl req -x509 -newkey rsa:4096 -sha256 -days 3650 -nodes -keyout ssl/golangci.key -out ssl/golangci....
domain_hunter:A Burp Suite Extension that try to find all sub-domain, similar-domain and related-domain of an organization automatically! 基于流量自动收集整个企业或组织的子域名、相似域名、相关域名的burp插件
05-03
更强大的版本请看该版本后续可能会替换更新了。 一个更强大的版本,请参阅 ,该版本可能不会更新。 作者 domain_hunter 一个Burp Suite扩展程序,它尝试自动查找组织的子域,相似域和相关域,而不仅仅是域。...
X509证书详解
weixin_38451161的博客
08-23 1万+
本文源于两篇英文文档,将其合二为一,翻译过程参考了网上的其它翻译以求更加准确,在此对这些翻译文档的作者表示感谢! 文中介绍的OpenSSL版本较老,与现有的版本有很多不符之处,但万变不离其宗,核心原理还是很有参考价值的。 1)证书 X.509标准是密码学里公钥证书的格式标准。X.509 证书己应用在包括TLS/SSL(WWW万维网安全浏览的基石)在内的众多 Internet协议里,同时它也有很多非在线的应用场景,比如电子签名服务。X.509证书含有公钥和标识(主机名、组织或个人),并由证书颁发机.
总结证书扩展和证书分类
大力海棠的博客
01-27 2411
自签名证书 签发后的CA证书可以进行扩展,分为私有扩展和标准扩展,私有扩展针对的是自签名证书,即由用户自己签发的证书,而非CA机构签发的,一般浏览器也不会集成有字签名证书的根证书,所以访问这类网站时,浏览器会提示给证书是不安全的,可能是伪造的。当然用户也可以选择信任该证书,然后继续TLS/SSL的握手过程,完成握手后,TLS/SSL仍然提供数据加密等完整性保护。自签名证书通常是内部使用,或者用在...
docker配置tls (二) 生成tls脚本
lanwp5302的博客
04-25 1049
一、生成tls脚本 #!/usr/bin/env bash # ------------------------------------------------------------- # 自动创建 Docker TLS 证书 # ------------------------------------------------------------- :<<! author: la...
subjectaltname ip 规则
最新发布
05-31
subjectAltName是X.509证书中的一个扩展字段,用于指定该证书所涵盖的主机名或IP地址。其中,ip规则是指在subjectAltName字段中指定IP地址的规则。 在ip规则中,可以使用IPv4地址、IPv6地址、IP地址范围等形式。例如,指定单个IPv4地址的规则可以写为: ``` IP:192.168.0.1 ``` 指定单个IPv6地址的规则可以写为: ``` IP:2001:0db8:85a3:0000:0000:8a2e:0370:7334 ``` 指定IP地址范围的规则可以写为: ``` IP:192.168.0.0/16 ``` 在使用subjectAltName字段时,可以同时指定多个IP地址规则,用逗号隔开即可。 使用subjectAltName字段中的ip规则可以增加证书的灵活性和安全性,因为它可以指定具体的IP地址或地址范围,避免了使用通配符带来的安全隐患。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值