ที่จริงแล้วคุณควรใช้dnsName
รายการในsubjectAltName
ส่วนของใบรับรองเพื่อระบุ FQDNs subject
ที่ไม่ได้เป็นส่วนหนึ่งของ การใช้subject
เพื่อวัตถุประสงค์นี้เลิกใช้แล้วเนื่องจาก RFC 2818 ได้รับการเผยแพร่ในปี 2000 ส่วนที่อ้างถึง3.1 :
หากส่วนขยาย subjectAltName ประเภท dNSName มีอยู่นั้นจะต้องใช้เป็นข้อมูลประจำตัว มิฉะนั้นจะต้องใช้ฟิลด์ชื่อสามัญ (เฉพาะส่วนใหญ่) ในฟิลด์ชื่อเรื่องของใบรับรอง แม้ว่าการใช้ชื่อสามัญนั้นเป็นแนวทางปฏิบัติที่มีอยู่ แต่ก็ไม่สนับสนุนและผู้รับรองจะได้รับการสนับสนุนให้ใช้ dNSName แทน
กรณีเดียวที่เนื้อหาของsubject
มีความเกี่ยวข้องในบริบทของการตรวจสอบความถูกต้องใบรับรองเซิร์ฟเวอร์คือถ้าไม่มีdnsName
รวมอยู่ในsubjectAltName
กรณีที่ถูกคัดค้านในช่วง 17 ปีที่ผ่านมาในขณะที่เขียน
การใช้ใบรับรอง wildcard เลิกใช้แล้วดังแสดงในส่วน 7.2 ของ RFC 6125 :
เอกสารนี้ระบุว่าอักขระตัวแทน '*' ไม่ควรรวมอยู่ในตัวระบุที่นำเสนอ แต่อาจถูกตรวจสอบโดยแอปพลิเคชันไคลเอนต์ (ส่วนใหญ่เพื่อความเข้ากันได้ย้อนหลังกับโครงสร้างพื้นฐานที่ปรับใช้)
การใช้ไพรเวตคีย์เดียวกันสำหรับบริการต่างๆมักถือว่าเป็นการปฏิบัติที่ไม่ดี หากหนึ่งในบริการถูกทำลายการสื่อสารจากบริการอื่น ๆ จะมีความเสี่ยงและคุณจะต้องเปลี่ยนคีย์ (และใบรับรอง) สำหรับบริการทั้งหมด
ฉันแนะนำ RFC 6125 เป็นแหล่งข้อมูลที่ดีในเรื่องนี้