允许的最大 SAN(主题备用名称)数

Maximum number of SAN (subject alternative names) allowed

X.509 中的主题备用名称是否有任何限制?还有 SAN 有什么规定吗?

1.还有SAN有什么规则吗?

RFC5280 指定主题备用名称为

SubjectAltName ::= GeneralNames

GeneralNames 是

GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName

因此,请在 'rules' 中查找 rfc(第 37 页)中的 GeneralName

2。 X.509 中的主题备用名称是否有任何限制?

附录 B. ASN.1 注释中的同一 rfc 所述:

The SIZE (1..MAX) construct constrains the sequence to have at least
one entry.  MAX indicates that the upper bound is unspecified

主题备用名称扩展完全由 RFC 5280 section 4.2.1.6 指定。

有关使用此扩展程序的一些规则或注意事项包括:

  • 主题名称可以是 在主题字段 and/or 中携带 subjectAltName 扩展名。请注意,如果任何 dNSName 出现在 subjectAltName 扩展中,那么 all DNS 名称应该包含在那里,包括那些在主题名称字段中的名称。有关详细信息,请参阅 RFC 2818

  • 如果证书中包含的唯一主体身份是 替代名称形式(例如,电子邮件地址),然后是 主题专有名称必须为空(空序列),并且 subjectAltName 扩展名必须存在并标记为关键。

  • 主题替代名称的限制方式可能与 使用 name constraints extension 的主题专有名称。也就是说,CA 证书 上的名称限制扩展可以强加一个名称 space,其中所有主题名称(包括替代名称)都在 必须找到证书路径中的后续证书。

  • 如果存在 subjectAltName 扩展名,序列必须包含 至少一个条目。没有定义上限;实现可以自由选择适合其环境的上限。

  • 与主题字段不同,合格的 CA 必须 不颁发 subjectAltNames 包含空的证书 GeneralName 字段。

  • 主题替代名称的语义包括 通配符是 RFC 5280 未解决。但是,RFC 6125 声明“通配符‘*’不应包含在提供的标识符中”