Trên thực tế, bạn nên sử dụng dnsName
các mục trong subjectAltName
phần chứng chỉ để chỉ định FQDN, không phải phần CN của subject
. Sử dụng subject
cho mục đích này đã không được chấp nhận vì RFC 2818 đã được xuất bản năm 2000. Phần trích dẫn 3.1 :
Nếu có phần mở rộng objectAltName của loại dNSName, thì PHẢI được sử dụng làm danh tính. Mặt khác, trường Tên chung (cụ thể nhất) trong trường Chủ đề của chứng chỉ PHẢI được sử dụng. Mặc dù việc sử dụng Tên chung là thông lệ hiện có, nhưng nó không được chấp nhận và Cơ quan Chứng nhận được khuyến khích sử dụng dNSName thay thế.
Trường hợp duy nhất mà nội dung của subject
có liên quan trong bối cảnh xác thực chứng chỉ máy chủ là nếu không dnsName
có trong đó subjectAltName
, một trường hợp không được chấp nhận trong 17 năm qua tại thời điểm viết.
Việc sử dụng chứng chỉ ký tự đại diện không được chấp nhận, như thể hiện trong phần 7.2 của RFC 6125 :
Tài liệu này nói rằng ký tự đại diện '*' KHÔNG NÊN được đưa vào các số nhận dạng được trình bày nhưng CÓ THỂ được kiểm tra bởi các ứng dụng khách (chủ yếu vì mục đích tương thích ngược với cơ sở hạ tầng được triển khai).
Sử dụng cùng một khóa riêng cho một số dịch vụ thường được coi là thông lệ xấu. Nếu một trong các dịch vụ bị xâm phạm, thông tin liên lạc từ các dịch vụ khác sẽ gặp rủi ro và bạn sẽ phải thay thế khóa (và chứng chỉ) cho tất cả các dịch vụ.
Tôi đề nghị RFC 6125 là một nguồn thông tin tốt về vấn đề này.