CA证书名称与公共名称(CN=)相关的问题

Question

请有人确认(或者最好还是告诉我，如果可能的话，为什么我能达到以下目的)我的理解/问题

我使用Microsoft (域连接)从我在这里和其他博客文章，我不能使用名称对比，以限制颁发证书时，我想限制域名只出现在通用名称(例如CN=)部分的总主题名称字段。

例如

让我说，我想限制任何MyDomain.com证书的颁发

如果我有一个证书签名请求，其中包括主题名称为

CN=www.MyDomain.com，OU=IT，O=MyOrg，L=Poole，S=Dorset，C=GB

此外，证书签名请求中根本没有主题可选名称。

虽然我的CA证书中有名字对比，但在DNS (排除)部分。

DNS = .MyDomain.com DNS = MyDomain.com

CA仍将颁发证书。

如果我随后向证书签名请求的SAN添加类似www2.MyDomain.com之类的内容，CA将按预期拒绝该请求。

因此，根据我所看到和阅读的，名称对比不适用于主题名称的CN= (公共名称)元素？

由于WEB /TLS将查看CN=是否与域名匹配(如果没有SAN )来接受证书，因此似乎没有解决方案，除非我遗漏了什么？

如有任何意见，我将不胜感激。

谢谢__AAnotherUser

Answer 1

来自RFC 5280：

符合此配置文件的应用程序必须能够处理强加于directoryName名称窗体的名称约束，并且应该能够处理强加于rfc822Name、uniformResourceIdentifier、dNSName和iPAddress名称窗体的名称约束。

目录名称( CN是目录名称的一部分)和dNSName ( subjectAltName)上的约束是两种不同类型的约束，这两种约束都必须存在于CA证书中。

顺便说一句: CA/Browser Forum不再允许没有SAN的服务器证书。