8 votes

Charlie avatar

Limite de la longueur du nom DNS du sujet alternatif X509v3

Demandé el 6 de Juin, 2014
Quand la question a-t-elle été
5256 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai parcouru les RFC 5280, 1034 et 1123 pour essayer de déterminer la longueur maximale d'une chaîne de caractères, mais je ne l'ai pas trouvée. Je me demande si l'un d'entre vous le sait.

Pour ceux d'entre vous qui connaissent les certificats X509v3, vous savez que vous pouvez inclure un Subject Alternative Name (SAN) dans le certificat. Il existe différents types de SAN : adresse électronique, nom dns, nom de répertoire, etc.

J'ajoute des SAN de type DNSName à mes certificats et je ne parviens pas à déterminer quelle est la longueur maximale des SAN de type DNSName.

L'un d'entre vous le sait-il ?

Demandé el 6 de Juin, 2014 par Charlie

Réponses

Trop de publicités?

8voto

Amy Anuszewski avatar
Amy Anuszewski Points 1228

La RFC 5280 spécifie 1..MAX GeneralNames pour SubjectAltName dans 4.2.1.6 :

SubjectAltName ::= GeneralNames
GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName

Dans l'annexe B., il est indiqué que

La construction "SEQUENCE SIZE (1..MAX) OF" apparaît dans plusieurs constructions ASN.1 dans plusieurs constructions ASN.1. Une séquence ASN.1 valide aura zéro ou plusieurs entrées. Le construct SIZE (1..MAX) contraint la séquence à avoir au moins une entrée. MAX indique que la limite supérieure n'est pas spécifiée. Les implémentations sont libres de choisir une limite supérieure qui convient à leur environnement.

ce qui signifie que la limite dépendra de l'implémentation. Ce CA signera des certificats avec 150 noms alternatifs, donc vraisemblablement quelque chose fonctionnera avec ce nombre.

Répondu el 6 de Juin, 2014 par Amy Anuszewski (1228 Points )

0voto

bherto39 avatar
bherto39 Points 101

Il semble que lorsque je l'ai essayé, il se limite à 36 caractères pour un seul nom DNS à l'intérieur du nom Subj Alt.

Lorsque j'ai créé le certificat auto-signé en utilisant openssl, nous avons utilisé cette configuration

[req_ext]                              
subjectAltName = @alt_names
[alt_names]
DNS.1= *.somedomain.com
DNS.2= x111us-somedomain-com-1888222111.us-east-1.elb.amazonaws.com

Lorsqu'il est affiché à partir du navigateur, il montre

Extension: Subject Alternative Name (2.5.29.17)
Critical: NO
DNS Name: *.test.com
DNS Name: x111us-somedomain-com-1851944707.us-

il y a quelques caractères manquants sur le 2ème DNS x111us-somedomain-com-1851944707.us-(quelques caractères manquants ici***)

Répondu el 2 de Mars, 2022 par bherto39 (101 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X