java 证书缺乏扩展项_证书签发与 SubjectAltName 扩展项

最新推荐文章于 2024-05-20 14:18:18 发布
最新推荐文章于 2024-05-20 14:18:18 发布
阅读量1.3k 收藏
点赞数
文章标签: java 证书缺乏扩展项
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42120563/article/details/112890184
版权
本文介绍了X.509证书的扩展项subjectAltName,用于标识证书持有者身份,特别是在Java TLS建立过程中,通过HostnameChecker进行匹配验证。当证书中没有Subject时,subjectAltName必须存在并设为关键;存在Subject时,应设为非关键。文章还阐述了Java TLS检查流程,包括IP和域名的匹配规则,并提供了自签发CA证书及签发服务器证书的配置和脚本示例。
摘要由CSDN通过智能技术生成

subjectAltName 在 RFC 5280 4.2.1.6. 中提供了详细的说明,subjectAltName 是 X.509 version 3 的一个扩展项,该扩展项用于标记和界定证书持有者的身份。

在 X.509 格式的证书中,一般使用 Issuer 项标记证书的颁发者信息,该项必须是一个非空的 Distinguished Name 名称。除此之外还可以使用扩展项 issuerAltName 来标记颁发者的其他名称,这是一个非关键的扩展项。

对于证书持有者,一般使用 Subject 项标记,并使用 subjectAltName 扩展项提供更详细的持有者身份信息。 subjectAltName 全称为 Subject Alternative Name,缩写为 SAN。它可以包括一个或者多个的电子邮件地址,域名,IP地址和 URI 等,详细定义如下:

SubjectAltName ::= GeneralNames

GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName

GeneralName ::= CHOICE {

otherName [0] OtherName,

rfc822Name [1] IA5String,

dNSName [2] IA5String,

x400Address [3] ORAddress,

directoryName [4] Name,

ediPartyName [5] EDIPartyName,

uniformResourceIdentifier [6] IA5String,

iPAddress [7] OCTET STRING,

registeredID [8] OBJECT IDENTIFIER

}

当颁发的证书不存在 Subject 项的时候,证书必须包含扩展项 subjectAltName,并且标记为关键(critical)的。当颁发的证书存在 Subject 项的时候,必须将扩展项 subjectAltName 标记为非关键(no-critical)的。注意:用于颁发证书的 CA 证书是必须包含 Subject 项的。

根据 RFC 6125 中的规定,当一个网站使用证书标记自己的身份时,如果证书中包含 subjectAltName,在识别证书持有者时会忽略 Subject 子项,而是通过 subjectAltName 来识别证书持有者。在早期颁发的证书中一般通过 Subject 的 CommonName 来识别持有者的身份,不包含 subjectAltName 扩展项。这会导致最新版本的浏览器Chrome、Firefox 等在通过 HTTPS 访问 web 网站时,触发 NET::ERR_CERT_COMMON_NAME_INVALID 错误。

Java TLS 中的检查过程

Java 在 TLS 建立的过程中,默认通过 sun.security.util.HostnameChecker 进行证书持有者身份检查。检查流程如下:从 SSLSession 中获取到服务端的地址信息 SSLSession#getPeerHost(),这个地址实际上是 Socket 建立连接的时候指定的 IP 地址或域名地址。

判断该地址是 IP 地址还是域名地址。

public void match(String host, X509Certificate serverCert) throws CertificateException {

if (isIpAddress(host)) {

matchIP(host, serverCert);

} else {

this.matchDNS(host, serverCert);

}

}如果是 IP 地址,则在 subjectAltName 中寻找 IP 进行匹配,根据 RFC 5280 4.2.1.6. 中对 GeneralName 的定义 IP 为类型 7。

private static void matchIP(String host, X509Certificate certificate) throws CertificateException {

Collection san = certificate.getSubjectAlternativeNames();

if (san == null) {

throw new CertificateException("No

最低0.47元/天 解锁文章
陈崇礼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Rockey Linux下OpenSSL制作自签名CA证书
weixin_41687096的博客
07-13 101
Rockey Linux下OpenSSL制作自签名CA证书应用
21. Spring Boot 2.x最佳实践之 HTTPS 集成
极客星云-CSDN博客
01-12 2438
讲解如何生成一个pfx 证书文件,并让你当前的目(网站)支持HTTPS.
介绍一下 X.509 数字证书中的扩展 subjectAltName
henter的专栏
06-09 1万+
在 RFC 5280《Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile》中定义了 X.509 公钥数字证书证书撤销列表的内容和格式。 在 X.509 编码格式的数字证书中,使用 Issuer 子标明证书的颁发者,I...
【HTTPS】使用OpenSSL生成带有SubjectAltName的自签名证书
热门推荐
Mlib
11-01 1万+
操作步骤 首先新建一个配置文件 ssl.conf如下: [ req ] default_bits = 4096 distinguished_name = req_distinguished_name req_extensions = req_ext [ req_distinguished_name ] countryName = Country...
在大型电商网站中哪些SSL证书比较适合
10-26 233
大型电商涉及的资金往来比较多,DV SSL证书已经不太适合,OV SSL证书和EV SSL证书的安全等级比DV SSL证书要高很多,是比较适合大型电商类的网站。其中Digicert和GlobalSign这两个SSL证书品牌是比较不错的选择。 Digicert和GlobalSign都比较侧重于中高端市场,主要投入在OV SSL证书和EV SSL证书中,而这两款SSL证书也是大型电商比较常用的。 这两个SSL证书品牌都是成立时间比较久的SSL证书品牌,旗下还有许多子品牌SSL证书,在国际上的知名度也比较
Chrome浏览器https访问,提示“Certificate - Subject Alternative Name missing”警告的处理
yipinrfr的博客
05-23 1万+
f12 显示提示信息如下原因是服务器证书中缺少“使用者可选名称”,需要在提交证书申请是加入该扩展信息,以keytool为例,需增加-ext san=dns:spam,ip:192.168.0.1内容即可。keytool -keystore keystore.jks -storepass changeme -alias spam -certreq -ext san=dns:spam,ip:192.1...
x509-subjectAltName
liudong200618的博客
03-14 1151
x509
java 证书缺乏扩展_不同域扩展的SSL证书
weixin_29882269的博客
02-25 74
针对不同域扩展的SSL证书......我不相信CA团队会卖给你一个像 mybusiness.* 和 *.mybusiness.* 这样的通配符 . 至少,您必须证明对所有可能域的控制,您可能无法做到 .CA和浏览器已经结合在一起并遵守自我强加的要求 . 见CA/B Baseline Requirements . 经验法则是通配符应该显示为FQDN的最左边部分 . IETF有点邋,,但人们从CA而...
java 证书缺乏扩展_Java解析证书的例子(包括基本目、扩展目) | 学步园
weixin_28820911的博客
12-31 184
import java.io.*;import org.bouncycastle.asn1.*;import org.bouncycastle.asn1.util.*;import org.bouncycastle.asn1.x509.*;import org.bouncycastle.util.encoders.*;public class CertManager {String eoid[][...
JAVA写HTTP代理服务器(三)-https明文捕获
liwei2633的专栏
10-31 3571
很久没更新了,其实https明文拦截已经实现很久了只是没发博客(毕竟我太懒),步入正题吧,上一篇用netty实现的http代理服务器还无法对https报文进行解密,原因也说了,就是服务器的私钥不在我们这,根据RSA公钥加密私钥解密的特性,如果我们没有私钥的话是不可能获取到https的真实内容的,那有没有什么办法解密https的报文呢,当然有通过代理服务器伪造ssl证书就可以达到目的,那么具体是什么原
写给开发人员的实用密码学 - CA
云水木石
04-22 1414
在上一篇文章《写给开发人员的实用密码学 - 数字证书》中介绍了数字证书,但要让用户信任颁发的数字证书,这里就需要引入 CA 中心。所谓CA(Certificate Authority)认证...
错误解决:No subject alternative DNS name matching xxx
最新发布
m0_55615432的博客
05-20 1490
我们想要解决错误,首先需要了解这是一个什么样的错。所以网上看了一些关于证书的消息可以看出 Subject Alternative name 是用来定义多个域名、ip地址等,实现一个证书认证多个地址多个域名。参考图片如下:所以我们之前报的错,问题就在于 证书中的 DNS name 字段无法匹配 报错中的网址(也就是我打了马赛克的部分)知道了问题,我们就可以开始着手解决它。
PHP SSL Module "subjectAltNames"空字节处理安全绕过漏洞
weixin_30537451的博客
08-28 118
漏洞版本: PHP 5.3.27 PHP 5.4.17 PHP 5.5.1 漏洞描述: Bugtraq ID:61776 PHP是一种HTML内嵌式的脚本语言 PHP SSL模块不正确处理服务器SSL证书中"subjectAltNames"通用名中的空字节,允许攻击者利用漏洞进行中间人攻击,获取敏感信息 <* 参考 http://www.secuni...
istio入门到精通【400节大课】
07-10
为什么使用istio:云平台令使用它们的公司受益匪浅。但不可否认的是,上云会给 DevOps 团队带来压力。为了可移植性,开发人员必须使用微服务来构建应用,同时运维人员也正在管理着极端庞大的混合云和多云的部署环境。 Istio 允许您连接、保护、控制和观察服务。从较高的层面来说,Istio 有助于降低这些部署的复杂性,并减轻开发团队的压力。它是一个完全开源的服务网格,作为透明的一层接入到现有的分布式应用程序里。它也是一个平台,拥有可以集成任何日志、遥测和策略系统的 API 接口。Istio 多样化的特性使您能够成功且高效地运行分布式微服务架构,并提供保护、连接和监控微服务的统一方法。教学内容:istio原理,envoy原理,envoy案例,envoy配置,istio crd配置,istio流量管理,istio安全配置,istio可观察性,istio策略控制,istio升级,istio常见问题,istio wasm,istio多控制面板,gateway-api,slime教学特色:a.1000多个istio实战案例,20多个envoy案例。800多个envoyfilter案例,全程已实战为主,理论相对较少,案例90%可试验b.涵盖98%以上crd字段配置c.不仅讲解yaml配置,同时结合envoy配置讲解d.不回避难点内容,深入讲解envoyfilter配置e深入讲解envoyf详细讲解额外内容,比如gateway-api,wasm,升降级,发布,灰度发布,蓝绿发布,istioctl命令,slime,多控制面板,多集群,常见问题g以一个完整案例串联所有内容h以markdown文件提供课件,内容详细,方便大家练习I有学员指出我的istio课程不够突出重点,安装80/20原则,20%内容是常用的,那我是否就讲这20%就可以了呢,其他课程确实是这么干的,他们只讲擅长的20%,我的目的不是这样的,我希望istio课程买我的一个就够了,让你全面学习istio,甚至遇到偏的问题不需要百度,课程里就有讲过,但是难免会出现一个问题,就是不够突出重点,我尽量兼顾全面的时候突出重点,讲到重点,核心功能时我会提示下。 
OpenSSL创建带SAN扩展证书并进行CA自签
liwei2633的专栏
09-20 1万+
什么是 SANSAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展证书支持的域名,使得一个证书可以支持多个不同域名的解析。来看看百度的证书,百度证书扩展域名有这么多,其中还有了*.hao123.com,那我们再看看www.hao123.com的证书 发现的确是用的前面的百度证书 所以SAN带来
使用keytool制作自签名证书以及tomcat配置双向认证
chaobataozou77的博客
03-31 524
使用keytool制作自签名证书以及tomcat配置双向认证一、rsa算法、公钥、私钥、数字签名二、证书格式三、根证书直接导入到服务器的密钥存储库四、支持二级证书以及动态签发证书 一、rsa算法、公钥、私钥、数字签名 rsa算法:rsa算法是ISO推荐的公钥数据加密的标准 公钥:加密客户端数据 私钥:解密客户端数据 数字签名:利用私钥进行数据加密就是数字签名的用处 二、证书格式 格式 作用 .cer .der 二进制格式,只保存证书,不保存私钥 .crt 可以是二进制格式也可以是文本
使用 OpenSSL 制作一个包含 SAN(Subject Alternative Name)的证书
u011599033的博客
05-06 2977
准备好目录 生成 CA 2.1 生成私钥 openssl ecparam -genkey -name secp256r1 |openssl ec -out private/ca.key.pem 2.2 使用 ECC 算法生成 256 位 CA 私钥 生成自签署证书,类型由 openssl.cnf 中配置的扩展字段指定为 CA 证书类型 openssl req -config openssl.cnf -key private/ca.key.pem -new -x509 -days 7300 -sha2.
jdk自签名证书-keytool
搬山境KL攻城狮的修炼手册
11-25 1862
1.创建密钥库 keytool -genkey -alias tomcat -keyalg RSA -keypass tomcat -storepass tomcat -keystore server.keystore -validity 3650 -dname "CN=cas.example.org,OU=csoa,O=csoa,L=FZ,ST=FZ,C=CN" -ext san=dns:cas.example.org,ip:192.168.1.220 2.导出证书文件供客户端(浏览器、JAVA客户端)
数字证书及CRL扩展和格式符合性检测标准
此外,描述中还提到了CRL(证书撤销列表)的格式符合性检测,要求CRL应符合X.509 V2标准,其签发者、版本、签名算法、主题等都应与证书要求一致,并且CRL的签名值应能使用证书颁发者的证书验证。 这些规定确保了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值