На самом деле, вы должны использовать dnsName
записи в subjectAltName
разделе сертификата для указания FQDN, а не части CN subject
. Использование subject
для этой цели не рекомендуется с тех пор, как в 2000 году был опубликован RFC 2818. Раздел 3.1 цитирования :
Если присутствует расширение subjectAltName типа dNSName, оно ДОЛЖНО использоваться в качестве идентификатора. В противном случае ДОЛЖНО использоваться (наиболее определенное) поле общего имени в поле «Тема» сертификата. Хотя использование общего имени является существующей практикой, оно устарело, и сертификационным органам рекомендуется вместо этого использовать dNSName.
Единственный случай, когда содержание subject
релевантно в контексте проверки сертификата сервера, - это если он не dnsName
включен subjectAltName
, случай, который устарел в течение последних 17 лет на момент написания.
Использование подстановочных сертификатов не рекомендуется, как показано в разделе 7.2 RFC 6125 :
В этом документе говорится, что подстановочный знак «*» НЕ ДОЛЖЕН включаться в представленные идентификаторы, но МОЖЕТ проверяться клиентами приложения (главным образом, для обеспечения обратной совместимости с развернутой инфраструктурой).
Использование одного и того же закрытого ключа для нескольких сервисов обычно считается плохой практикой. Если одна из служб будет скомпрометирована, связь с другими службами окажется под угрозой, и вам придется заменить ключ (и сертификат) для всех служб.
Я предлагаю RFC 6125 в качестве хорошего источника информации по этому вопросу.