web-dev-qa-db-fra.com

Nombre maximum de SAN (autres noms de sujet) autorisé

Y a-t-il une limite pour les autres noms de sujet dans X.509? Existe-t-il également des règles pour le SAN?

ssl-certificatex509
18
vaibhav magar

1. Existe-t-il également des règles pour le SAN?

RFC528 spécifie les noms alternatifs de sujet comme

SubjectAltName ::= GeneralNames

où GeneralNames sont

GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName

Donc, recherchez les 'règles' pour un GeneralName dans le rfc (page 37).

2. Y a-t-il une limite pour les autres noms de sujet dans X.509?

Comme indiqué dans le même rfc au chapitre Annexe B. Notes ASN.1:

The SIZE (1..MAX) construct constrains the sequence to have at least
one entry.  MAX indicates that the upper bound is unspecified
13
Manuel

L'extension Subject Alternative Name est entièrement spécifiée par RFC 5280 section 4.2.1.6 .

Certaines règles ou remarques sur l'utilisation de cette extension incluent:

  • Le nom de sujet PEUT être porté dans le champ sujet et/ou l'extension subjectAltName. Notez que si un dNSName est présent dans l'extension subjectAltName, alors tous les noms DNS doivent y être inclus, y compris ceux du nom du sujet champ. Voir RFC 2818 pour plus de détails.

  • Si la seule identité de sujet incluse dans le certificat est une forme de nom alternative (par exemple, une adresse de messagerie électronique), le nom distinctif de sujet DOIT être vide (une séquence vide) et l'extension subjectAltName DOIT être présente et marquée comme critique.

  • Les noms alternatifs de sujet PEUVENT être contraints de la même manière que les noms distinctifs de sujet en utilisant extension des contraintes de nom . C'est-à-dire que l'extension des contraintes de nom sur un certificat CA peut imposer un espace de noms dans lequel tous les noms de sujet (y compris les noms alternatifs) dans les certificats suivants d'une certification le chemin DOIT être localisé.

  • Si l'extension subjectAltName est présente, la séquence DOIT contenir au moins une entrée. Aucune limite supérieure n'est définie; les implémentations sont libres de choisir une limite supérieure qui convient à leur environnement.

  • Contrairement au champ sujet, les autorités de certification conformes NE DOIVENT PAS émettre de certificats avec subjectAltNames contenant des champs GeneralName vides.

  • La sémantique des noms alternatifs de sujet qui incluent des caractères génériques n'est pas traitée par la RFC 5280. Cependant, RFC 6125 indique "le caractère générique '*' NE DEVRAIT PAS être inclus dans les identificateurs présentés"

5
frasertweedale