Максимальное количество SAN (альтернативные имена объекта) разрешено

Есть ли какой-либо предел для альтернативных имен объектов в X.509? Также существуют ли какие-либо правила для SAN?

Ответы

Ответ 1

1. Существуют также правила для SAN?

RFC5280 указывает альтернативные имена объектов как

SubjectAltName ::= GeneralNames

в котором общие имена

GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName

Итак, просмотрите "правила" для GeneralName в rfc (стр. 37).

2. Есть ли какой-либо предел для альтернативных имен объекта в X.509?

Как указано в том же rfc в главе Приложение B. Примечания ASN.1:

The SIZE (1..MAX) construct constrains the sequence to have at least
one entry.  MAX indicates that the upper bound is unspecified

Ответ 2

Расширение альтернативного имени темы полностью указано RFC 5280 раздел 4.2.1.6.

Некоторые правила или примечания об использовании этого расширения включают:

  • Имя субъекта МОЖЕТ быть переносится в поле темы и/или расширение субъектаAltName. Обратите внимание: если в расширении subjectAltName присутствует dNSName, тогда там должны быть включены все DNS-имена, в том числе те, которые указаны в поле имени темы. Подробнее см. RFC 2818.

  • Если единственным удостоверением личности, включенным в сертификат, является альтернативную форму имени (например, адрес электронной почты), затем субъектное различающееся имя ДОЛЖНО быть пустым (пустая последовательность), а subjectAltName extension ДОЛЖЕН присутствовать и помечен как критический.

  • Тема альтернативных имен МОЖЕТ быть ограничена таким же образом, как и тематические отличительные имена, используя расширение ограничений имен. То есть расширение ограничений имен в сертификате ЦС может налагать пространство имен, в котором все имена субъектов (включая альтернативные имена) в последующие сертификаты в пути сертификации ДОЛЖНЫ быть расположены.

  • Если расширение subjectAltName присутствует, последовательность ДОЛЖНА содержать по крайней мере, одну запись. Верхняя граница не определена; реализации могут свободно выбирать верхнюю границу, которая подходит для их среды.

  • В отличие от поля subject, соответствующие CAs ДОЛЖНЫ НЕ выдавать сертификаты с subjectAltNames, содержащими пустые Общие поля.

  • Семантика альтернативных имен объекта, которые включают подстановочные знаки не обращается к RFC 5280. Однако RFC 6125 утверждает "символ подстановки" * "НЕ ДОЛЖЕН быть включен в представленные идентификаторы"