Alguém pode, por favor, confirmar (ou melhor ainda, me dizer por que eu posso conseguir o seguinte, se for possível?) minha compreensão / problema
Eu uso um CA da Microsoft (Domínio Unido) do que li aqui e em outros posts de blogs não consigo usar contrains name para restringir a emissão de certificados quando o nome de domínio que eu quero restringir aparece somente no Common Nome (por exemplo, CN =) parte do campo de nome do assunto global.
por exemplo
digamos que eu queira restringir a emissão de qualquer certificado para MyDomain.com
se eu tiver uma solicitação de assinatura de certificado que inclua um nome de assunto
CN = www.MyDomain.com, UO = IT, O = MyOrg, L = Poole, S = Dorset, C = GB
Além disso, não há nomes de alternativas de assunto na solicitação de assinatura de certificado.
embora eu tenha as contrains name no meu certificado de CA na seção DNS (exclusão), por exemplo,
DNS = .MyDomain.com
DNS = MyDomain.com
A CA ainda emitirá um certificado.
Se eu adicionar algo como www2.MyDomain.com à SAN da solicitação de assinatura de certificado, a autoridade de certificação rejeitará a solicitação conforme o esperado
Então, pelo que vi e li, as contrains of name não se aplicam ao elemento CN = (nome comum) do Nome do Assunto?
À medida que os WEB Servers SSL / TLS analisam CN = para correspondência de nomes de domínio (se não houver SAN presente) para aceitar um certificado, parece que não há solução para isso, a menos que esteja faltando alguma coisa?
Eu ficaria grato por qualquer entrada
obrigado
__AAnotherUser