SubjectAltName(简称 SAN)是 X.509 数字证书中的一个扩展字段,它允许在单个证书中指定多个身份标识。

于 2025-01-06 16:20:17 发布
阅读量407 收藏 2
点赞数 8
CC 4.0 BY-SA版权
文章标签: 服务器 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangqiaowq/article/details/144966421

`SubjectAltName`(简称 SAN)是 X.509 数字证书中的一个扩展字段,它允许在单个证书中指定多个身份标识。这些身份标识可以是域名、IP 地址、电子邮件地址或其他类型的标识符。SAN 扩展使得一个 SSL/TLS 证书能够用于多个不同的主机名或服务,而不需要为每个主机名都申请单独的证书。

以下是 `SubjectAltName` 可能包含的不同类型的身份标识:

1. **DNS Name**: 指定一个或多个域名。这对于拥有多个子域或别名(如 `www.example.com` 和 `mail.example.com`)的网站特别有用。
2. **IP Address**: 指定一个或多个 IP 地址。这适用于直接通过 IP 地址访问的服务。
3. **Uniform Resource Identifier (URI)**: 指定一个 URI,可用于标识 web 服务等资源。
4. **Email Address**: 指定一个电子邮件地址,用于邮件服务器的 TLS/SSL 证书。
5. **Directory Name**: 指定一个 X.500 目录名称,通常用于客户端认证。
6. **Registered ID**: 指定一个对象标识符 (OID),这是由注册机构定义的一个唯一编号,用来表示特定的实体或应用。
7. **Other Name**: 允许使用其他类型的名称形式,通常与自定义 OID 结合使用。

### 使用场景

- **多域名支持**:一个组织可能拥有多个域名,并希望所有这些域名都能通过同一个 SSL/TLS 证书来加密通信。SAN 使这成为可能,而无需为每个域名购买单独的证书。
- **通配符证书**:虽然通配符证书(如 `*.example.com`)可以覆盖整个子域,但有时您可能还需要包括不在此通配符模式下的额外域名。在这种情况下,可以在 SAN 字段中添加这些额外的域名。
- **内部和外部域名**:对于既提供公共互联网服务又提供内部网络服务的组织来说,SAN 可以同时包含面向公众的域名和仅供内部使用的域名。
- **IP 地址绑定**:某些情况下,特别是当服务没有关联的 DNS 名称时,可以通过 SAN 中的 IP 地址来绑定 SSL/TLS 证书。

### 配置和验证

在配置 SSL/TLS 证书时,确保您的 Web 服务器或应用程序正确设置了 `SubjectAltName` 字段。如果证书中缺少这个字段或者配置错误,浏览器和客户端可能会显示警告信息或拒绝连接。因此,在生成证书签名请求 (CSR) 时,请务必仔细检查并包含所有必要的 SAN 条目。

此外,一些证书颁发机构 (CA) 提供了在线工具或指南,帮助用户创建带有正确 `SubjectAltName` 的 CSR。在部署证书后,也应验证 SAN 字段是否按照预期包含所有需要的身份标识。

潇锐killer
关注
【openssl学习笔记】SSL Server Cert制作
千里之堤
04-24 1333
openssl req -new -x509 -keyout ca.pem -out ca.crt -config openssl.cfg openssl req -new -key server.pem -config openssl.cfg -out server.csr openssl ca -in server.csr -out server.crt -config openssl
X509证书扩展(Extensions)
展望、进击
04-18 1400
在数字安全领域,X.509证书扩展(Extensions)扮演着至关重要的角色,提供了证书定制化的可能性,以适应不同的安全需求和策略。本文将详细探讨X.509证书中的扩展功能、它们的种类及其在保证网络安全中的重要性。🔒🌟
x509-subjectAltName
liudong200618的博客
03-14 1370
x509
介绍一下 X.509 数字证书中的扩展subjectAltName
热门推荐
henter的专栏
06-09 1万+
在 RFC 5280《Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile》中定义了 X.509 公钥数字证书证书撤销列表的内容和格式。 在 X.509 编码格式的数字证书中,使用 Issuer 子项标明证书的颁发者,I...
Windows 下使用 OpenSSL 命令行创建包含 subjectAltName 扩展项的数字证书
henter的专栏
07-28 5839
1. CA 的基本原理简介(了解相关背景知识的读者请跳过这一部分) 我们回想一下在生活中,两个以前从未谋面的人如何核实对方的身份。由于每一个公民都有派出所颁发的身份证,两个人只要通过查看对方的身份证,就可以大体上知道对方是谁。这个验证身份的过程如下图: 在互联网上,识别陌生实体的思路与上述过程类似。首先建立一个有公信力的认证机构 CA(即Certificate...
wazuh官方安装指南(中文译版本)
weixin_30443895的博客
02-18 2999
安装Wazuh服务器 Wazuh服务器可以安装在任何类型的Unix操作系统上。最常见安装在Linux上。如果可以为您的系统提供自动化脚本,则安装过程会更容易,但是,从源码构建和安装也非常简单。 通常在Wazuh服务器上安装两个组件:管理器和API。此外,对于分布式体系结构(Wazuh服务器将数据发送到远程Elastic Stack集群),需要安装Filebeat。 安装Wazuh服务器...
使用 OpenSSL 制作一个包含 SAN(Subject Alternative Name)的证书
weixin_34387468的博客
10-20 9353
为什么80%的码农都做不了架构师?>>> ...
02-HTTPS证书生成、验签 、证书
River的博客
11-11 1918
在第一节中我们知道了HTTPS为什么需要证书,以及证书的作用。那么这一节对证书的细节展开更加深入的研究。
grpc、https、oauth2等认证专栏实战3: 使用openssl来制作san类型的证书
码二哥的技术池
07-18 1705
首先,找到openssl软件自带的openssl.cnf的文件路径,(centos系统)拷贝到指定目录下。
npm 依赖下载报错 主机名/IP与证书的altname不匹配
猫猫的小茶馆
06-28 2483
npm 依赖下载报错 主机名/IP与证书的altname不匹配 npm 依赖下载报错:主机名/IP与证书的altname不匹配 记录一下解决的方案: 尝试使用 //取消ssl验证 npm set strict-ssl false npm config set registry http://registry.npmjs.org/ //如果还没成功,则将npm源更换为国内镜像: npm config set registry http://registry.cnpmjs.org/ npm config
OpenSSL创建带SAN扩展证书并进行CA自签
liwei2633的专栏
09-20 1万+
什么是 SANSAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展证书支持的域名,使得一个证书可以支持多个不同域名的解析。来看看百度的证书,百度证书扩展域名有这么多,其中还有了*.hao123.com,那我们再看看www.hao123.com的证书 发现的确是用的前面的百度证书 所以SAN带来
如何使用OpenSSL生成带有SubjectAltName的自签名证书
Crystal360的博客
02-08 1万+
我试图生成一个自签名证书与OpenSSL with SubjectAltName in.While我生成证书的csr,我的猜测是我必须使用OpenSSL x509的v3扩展。我在用 :openssl req -new -x509 -v3 -key private.key -out certificate.pem -days 730有人可以帮我确切的语法吗?Can someone help me w...
【2.学习__签名证书和加密证书
jy0921
08-24 5156
实习期学习一些签名和加密的知识: ------------------------暂时先这样,有时间了再整理。学习的方法: 先学习证书文件内容、结构,再针对问题进行学习 证书相关的知识: 1. 证书的结构大致是什么样的? 证书的机构分为三部分: tbsCertificate: 包含 主题 和 发行者的名字,与主题联系起来的公开密钥,有效期和其他相关信息 signatu...
gRPC之SAN证书生成
YIYIYI
12-12 1095
gRPC之SAN证书生成
openssl.cnf 参数说明
m0_51514815的博客
05-23 2380
openssl.cnf的文件内容包括了三大部分: 默认的文件配置、 证书请求配置及 证书签发配置。除此之外还可以配置X.509证书扩展项,在使用OpenSSL函数库时也可以使用配置机制第一段是默认段,一般没有section_name,但不是一定没有,可以自定义有名称的。默认段中定义的是一些公共属性,当搜索一个给定名称的段时,将首先搜索有名称的段,当搜索不到匹配的段后会搜索默认段。以下是默认段的内容。
OpenSSL 证书通过 Subject Alternative Name 扩展字段扩展证书支持多域名
卷心菜投手
12-04 639
1、SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。它允许一个证书支持多个不同的域名。通过使用 SAN 字段,可以在一个证书指定多个 DNS 名称(域名)、IP 地址或其他类型的标识符,这样证书就可以同时用于多个不同的服务或主机上。这种灵活性意味着企业不需要为每个域名单独购买和安装证书,从而降低了成本和复杂性。
使用openssl生成SAN证书
Arvin
08-12 3009
使用openssl生成SAN证书
通配符SSL证书SAN证书的差别
花飘万家雪
10-17 3347
当下有两种多用SSL证书,具体情况如下: 通配符(Wildcard)证书——通配符证书广泛用于保护一个独特的完全限定性域名下的多个子域名。这种证书的好处是,它不仅使管理证书变得简单,而且还能帮助你降低管理费用。它能够随时保护你当前和将来的子域名。 1. 通配符证书能够使你的证书管理变得十分简单,因为一个证书对保护当前和将来所有的子域名完全是足够的。这反过来也能减低你的管理费用,因为你不需要经常...
AN扩展必要性:现代浏览器要求SSL证书必须包含 subjectAltName 字段才能验证内网IP,怎么包含
最新发布
03-08
<think>好的,我现在需要帮助用户了解如何配置SSL证书以包含subjectAltName字段,特别是支持内网IP的验证。用户提到现代浏览器对此有要求,所以首先我得确认subjectAltName的作用以及为什么内网IP需要它。 首先,我记得SSL证书中的subjectAltNameSAN)是用来指定证书可以使用的多个域名和IP地址的扩展字段。以前主要依赖Common Name(CN),但现在浏览器基本不再检查CN,而是必须要有SAN扩展。如果用户在内网使用IP地址访问服务,证书必须包含该IP在SAN中,否则浏览器会报错。 接下来,用户需要生成这样的证书,可能需要使用OpenSSL工具。根据用户提供的引用,比如引用[2]和[4],他们可能已经有一些生成证书的经验,但需要调整配置来包含SAN。 我需要考虑生成证书的步骤,通常包括生成私钥、创建CSR(证书签名请求)、签署证书。关键点是在CSR或签署过程中包含SAN扩展。不过默认情况下,OpenSSL的req命令可能不会包含SAN,所以需要修改配置文件或者在命令行中指定。 查阅引用[3],关于CSR配置的官方文档,可能需要编辑openssl.cnf文件,添加SAN的部分。用户提到的引用[2]中提到了修改openssl.cnf配置文件,这可能涉及到在配置文件的相应部分添加x509_extensions或者req_extensions,并定义SAN字段。 比如,在openssl.cnf的v3_req部分添加subjectAltName = @alt_names,然后定义alt_names部分,包含IP地址。例如: [alt_names] IP.1 = 192.168.1.100 然后,在生成CSR时,需要指定使用这个扩展,可能通过-config参数指向修改后的配置文件,或者使用-addext参数直接添加扩展(如果OpenSSL版本支持)。 例如,生成CSR的命令可能像这样: openssl req -new -key server.key -out server.csr -config openssl.cnf 或者使用命令行参数: openssl req -new -key server.key -out server.csr -addext "subjectAltName = IP:192.168.1.100" 不过,不同版本的OpenSSL可能支持不同的参数,需要确认用户的环境。比如较新的版本支持-addext,而旧版本可能需要修改配置文件。 然后,在签署证书时,同样需要确保SAN扩展被包含。引用[4]中的例子使用openssl x509命令,可能需要通过-extfile参数指定包含SAN的配置文件,或者再次使用扩展参数。 例如,在签署时: openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 -extfile openssl.cnf -extensions v3_req 这里-extensions指定了使用配置文件中的v3_req部分,其中已经包含了SAN的定义。 用户可能遇到的常见问题包括:未正确配置SAN导致证书被浏览器拒绝,或者OpenSSL版本问题导致参数不支持。需要提醒用户检查他们的OpenSSL版本,并确保配置文件正确。 另外,用户可能需要生成自签名证书,这时候可以在生成证书时直接添加SAN,例如: openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes -subj "/CN=example.com" -addext "subjectAltName=IP:192.168.1.100" 但同样需要确认-addext是否可用,否则还是得依赖配置文件。 总结步骤应该是: 1. 生成私钥。 2. 创建或修改openssl.cnf,添加SAN部分。 3. 生成CSR时包含SAN扩展。 4. 签署证书时应用SAN扩展。 5. 验证生成的证书是否包含SAN字段,可以使用openssl x509 -text -noout -in server.crt查看,如引用[1]中的命令。 还需要提醒用户,如果使用自签名CA,需要确保CA证书被客户端信任,并且签署服务器证书时正确应用了SAN配置。 最后,用户可能需要示例配置文件和具体的命令步骤,所以提供详细的步骤和示例配置会很有帮助,同时指出常见错误点和验证方法。</think>### 如何配置SSL证书添加subjectAltName字段支持内网IP验证? 现代浏览器要求SSL证书必须包含`subjectAltName`(SAN字段来验证域名或IP地址的合法性,特别是内网IP场景。以下是具体配置步骤: --- #### **1. 修改OpenSSL配置文件** 在生成证书前,需修改`openssl.cnf`文件(通常位于`/etc/ssl/openssl.cnf`或`/usr/lib/ssl/openssl.cnf`),添加SAN扩展配置[^2][^3]: ```ini [ v3_req ] subjectAltName = @alt_names # 启用SAN扩展 [ alt_names ] IP.1 = 192.168.1.100 # 替换为实际内网IP # 可添加多个IP或域名,例如: # DNS.1 = example.com # IP.2 = 10.0.0.1 ``` --- #### **2. 生成服务器私钥** ```bash openssl genrsa -out server.key 2048 ``` --- #### **3. 生成CSR(证书签名请求)** 使用修改后的配置文件生成CSR,确保包含SAN字段: ```bash openssl req -new -key server.key -out server.csr \ -subj "/CN=YourServerName" \ -config /path/to/openssl.cnf # 指定修改后的配置文件路径 ``` --- #### **4. 签署证书时应用SAN扩展** 使用CA证书签署时,需显式启用SAN扩展: ```bash openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key \ -CAcreateserial -out server.crt -days 365 \ -extensions v3_req -extfile /path/to/openssl.cnf ``` --- #### **5. 验证证书内容** 使用以下命令检查SAN字段是否包含内网IP[^1]: ```bash openssl x509 -text -noout -in server.crt | grep "Subject Alternative Name" ``` 输出应显示: ``` X509v3 Subject Alternative Name: IP Address:192.168.1.100 ``` --- #### **6. 直接生成自签名证书(无CA场景)** ```bash openssl req -x509 -newkey rsa:2048 -keyout server.key -out server.crt \ -days 365 -nodes -subj "/CN=YourServerName" \ -addext "subjectAltName=IP:192.168.1.100" # 需要OpenSSL 1.1.1+ ``` --- ### **注意事项** 1. **OpenSSL版本**:低于1.1.1的版本需通过配置文件添加SAN,不支持`-addext`参数[^3]。 2. **多IP/域名支持**:在`alt_names`中按格式添加多个条目(如`IP.2`, `DNS.1`)。 3. **浏览器信任**:自签名证书需手动导入客户端信任库[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值