NC ei campi SAN completano a vicenda e così di conseguenza ho impostato il CN per server.domain.local e nel SAN ho DNS: server.domain.tld
No (ma quel post è un po 'vecchio adesso).
Inserire un nome DNS è il nome comune (CN) è deprecato da IETF e CA/Browser Forum. È necessario posizionare tutti i nomi DNS in Subject Alternate Name (SAN). Utilizzare il CN per un nome descrittivo come "Esempio LLP" poiché è visualizzato all'utente.
In base ai CA/Browser Baseline Requirements (BR), un nome DNS nel CN deve essere presente anche nella SAN. Vedi CA/B BR, Section 9.2.
Chrome, almeno, posso individuare server.domain.tld (ingresso SAN) senza errori ma ottengo un errore comune nome non corrispondente a server.domain.local (CN)
Chrome è correttamente rifiutando il certificato seserver.domain.local
è presente nel CN, ma non è presente nella SAN. È una violazione del CA/B BR se non è presente in entrambi.
Dovrei avere sia server.domain.local e server.domain.tld nel campo SAN
Sì, posizionare entrambi i nomi DNS nella SAN. Non inserire un nome DNS nel CN. Usa la CN per un nome descrittivo.
Per completezza, CA/B sta per CA e browser. Hanno il loro piccolo club chiuso e hanno il loro insieme di politiche per il rilascio dei certificati. Non aspettarti che i browser facciano cose come specificato nei documenti IETF.
E se si convalidano i certificati X509 utilizzati in natura emessi da una CA membro di CA/B, è necessario convalidare utilizzando CA/B BR e non i documenti IETF.
ti credo cuz che quello che sto vivendo IRL ma per quanto riguarda RFC 5280 (sezione 4.1.2.6) che le quotazioni della risposta? – JonoCoetzee
RFC5280 è solo generale per le strutture PKI. RFC2818 e RFC5216 gestiscono invece la verifica dei certificati nel contesto di protocolli applicativi specifici. Ad esempio RFC5280 esplicitamente non affronta la gestione di caratteri jolly, mentre RFC2818 lo fa. Sì, questo è tutto molto confuso :( –
Non ti riferivi a RFC 6125 invece di 5216? – Bruno