我在这里有一个主题为“server01.department.company.com”和两个主题替代名称“app1”和“app2”的证书。 当我连接到app1或app2到服务器一切都很好。 但是,当我连接服务器的真实名称(主题)浏览器告诉我,证书是无效的。 我现在用digicert查看了一些证书,他们也提到了SAN列表中的主题。 在我看来,只要存在一些SAN,浏览器不再检查主题。 我正在阅读RFC 5280,但我找不到任何证实这一点的东西。
如果我的假设是正确的,为什么它是这样的,有人可以给我更多的信息吗?
RFC 6125§4.4是你在找什么。 它指定当主题备用名称存在时,通用名称(CN)不需要被检查,尽pipe允许客户端这样做。 在实践中,许多客户现在完全忽略了CN。
联系谁发出你的证书,并要求他们纠正错误。