公共 SAN 证书 |已弃用内部服务器名称中的支持 |第 19 部分#36

在本文中，我们将回顾 SAN 证书中的“无效的完全合格域名”主题。有趣的是，主机名（2014），关于这个主题的公开信息并不多，但尽管这个主题看起来很小而且不“酷”，但这个新标准的影响可能是相当戏剧性和严重的。

自 2015 年 11 月 1 日起，将无法选择注册新的公共证书或续订包含非唯一名称的现有公共证书。

换句话说，您将无法使用包含非唯一名称的证书来发布提供特定服务的内部或外部主机。

和往常一样，在这个阶段，可能会出现许多相关问题：

第一季度。无效的完全合格域名是什么意思？

第二季度。非唯一名称的含义是什么？

第三季度。与 SAN 证书有什么关系或联系？

第四季度。此问题与哪些组织服务和基础设施相关？

第五季度。如何让我为这一变化做好准备？

我将在下一节中尝试详细回答这个问题。关于问题 4——“这个问题与哪些组织服务和基础设施相关”，重要的是要强调这个主题是巨大的，答案可能涉及数十甚至数百种不同的服务。在本文中，我主要涉及 Microsoft Exchange 服务器基础结构。

关于问题 5——“如何部分”的答案在上一篇文章中出现了更多细节——交换基础设施 |实现单域命名空间方案 |第 2 部分#2 |第 18 部分#36

注意：尽管有关于 Exchange 基础结构相关性的“声明”，但大多数信息与任何其他基础结构甚至非 Microsoft 操作系统相关。

我为什么要关心 - 公共 SAN 证书这个主题 |不推荐使用 - 内部服务器名称中的支持？ （非唯一名称）？

如前所述，公共 SAN 证书中对内部服务器名称的支持末尾的主题不会产生太多噪音，但它是一个必要的主题，涉及最基本的组织服务和基础设施，包括网站、Exchange基础设施等等。

问：如果我宁愿忽略这个主题，会产生什么后果？

A：我不是预言家，但我可以预测后果可能会很烦人，甚至是灾难性的。

作为 IT 管理员或作为 Exchange 服务器\基础设施顾问，您和您的用户有责任熟悉“新公共证书标准”，了解该标准的含义，规划所需的更改并实施更改\更新在最后一天之前。

那么到底是怎么回事呢？

令人不安的是，如果组织基础架构（例如 Exchange CAS 服务器）使用包含单个主机名或带有私有域名的 FQDN 的 SAN 证书，您将无法续订此证书日期 2015 年 11 月 1 日。

另一种方式来表明 CA/浏览器论坛的不情愿 - 包含内部服务器名称的公共 SAN 证书？ （非唯一名称）

Q1：是谁让我的生活如此艰难？

A1：CA/浏览器论坛

问题2：CA/浏览器论坛是谁？

A2：维基百科中出现的定义是：

证书颁发机构浏览器论坛，也称为 CA/浏览器论坛，是一个由证书颁发机构、互联网浏览器软件、操作系统和其他支持 PKI 的应用程序供应商组成的自愿联盟，颁布管理颁发和管理的行业指南X.509 v.3 数字证书，链接到此类应用程序中嵌入的信任锚。
其指南涵盖用于 SSL/TLS 协议和代码签名的证书，以及证书颁发机构的系统和网络安全。 此外，基线要求禁止 CA 颁发在 2015 年 11 月 1 日之后过期的内部名称证书。2015 年之后，任何无法进行外部验证的主机名将无法获得公众信任的证书。

什么是 SAN 公共证书？

“SAN 证书”一词的简单解释是：一种公共证书，其中包含一个或多个主机名的列表，这些主机“有权”使用特定证书。

例如，包含主机名的 SAN 证书 - mail.o365info.com

当我们需要使用HTTPS等协议实现安全通信通道时，“服务器端”通过出示“批准的”证书向客户端证明自己的身份。

例如 - 当客户端地址主机名为 mail.o365info.com 时，服务器将通过向客户端提供证书来回复，其中在“主题备用名称”中包含主机名提交。

如果证书上没有出现主机名，则该证书被视为无效。

维基百科中 SAN 证书的正式定义是：

SubjectAltName (SAN) 是 X.509 的扩展，允许将各种值与安全证书关联。这些值称为“主题备用名称”或 SAN。名称包括：

• 电子邮件地址
• IP地址
• URI
• DNS 名称（否则通常在主题内作为通用名称 RDN 给出）
• 目录名称（主题中给出的替代可分辨名称）
• 其他名称，以通用名称形式给出 - 注册的对象标识符后跟一个值。
• 主题替代名称

为什么使用内部服务器名称（非唯一名称）可能会转化为安全风险

使用内部服务器名称？ （非唯一名称）是公共 SAN 证书，可能会导致安全漏洞或漏洞利用。

关于安全漏洞的主题，我选择让我的生活更轻松，并通过使用由 CA/浏览器论坛发布的名为“内部服务器弃用指南”的非常精确且内容丰富的 PDF 来提供这个问题的答案。

认证机构通过颁发绑定加密公钥材料的证书来验证身份，从而在互联网上建立信任”
“两种类型的名称和地址之间的关键区别是唯一性。
诸如“www.cabforum.org”之类的合格域名代表互联网上唯一且
独特的身份（即使多个服务器响应该名称，该名称的控制权也属于单个实体）。
相反，在任何给定时间，公共和专用网络上可能有数千个系统可以响应非限定名称“www”。
Internet 上只有一台逻辑主机具有 IP 地址“97.74.42.11”，而是数以万计的家庭互联网网关，其地址为“192.168.0.1”
“由公众信任的证书颁发机构颁发的证书的目的是在整个互联网范围内提供对名称的信任。
非-就其本质而言，唯一名称无法在其本地环境之外得到证明，并且此类证书可能会被危险地滥用，因此，自 BR 1.0 生效之日起，将为非唯一名称和地址颁发证书，例如“www ”、“www.local ”或“192.168.0.1 ”已弃用。

什么是非唯一名称？

嗯，这是棘手的部分，因为我们需要解释一个无形的概念，此外，还有很多平行词，它们描述了相似或相同的概念。

本文的主题涉及公共 SAN 证书的新标准，该标准规定 - 在不久的将来（2015 年 11 月 1 日）将不支持非唯一名称或无效的完全限定域名。

在下图中，我们可以看到“非唯一名称”列表，自 2015 年 11 月 1 日起，这些名称在 SAN 公共证书中将被视为“不允许”或不受支持

我们承认，术语“非唯一名称”有点模糊。
造成这种歧义的原因是因为术语“非唯一名称”可以翻译或转换为几个平行术语。

为了澄清这个术语，我们对两个名称空间类别进行基本分类：单一名称地址空间与 FQDN（完全限定域名）地址空间。

1.单一名称地址空间

“单一名称地址空间”和所有上述术语描述了基于单一名称的命名约定。
这正是我们用于个人名称的命名约定。
我们每个人都有一个个人姓名，但我们不能将此名称视为“唯一标识符”，因为其他人很有可能会使用此名称。

在网络环境中，我们可以使用单一名称地址空间来引用主机。

这种通过使用单一名称地址空间与特定主机相关的方法还使用以下术语进行描述：

• 内部服务器名称
• 单个主机名
• 当地名称
• 简称
• 网络BIOS名称
• 链路本地多播名称

2. FQDN（完全限定域名）地址空间

顾名思义，术语 FQDN（完全限定域名）定义了由主机名 + 域名后缀构建的“全名”。

FQDN 名称中的每个“部分”都不是唯一的，但主机名和域名的组合创建了一个“唯一名称”或完全限定域名。

术语“FQDN”也可以分为两个主要类别：

1. 公共 FQDN

公共 FQDN 是具有公共域名后缀的主机名。
术语“公共域名”可能有几个正式定义，但如果我们想让它变得简单，其含义是一个域是从出售公共域名的公共 ISP\提供商处购买的。

公共域名是要注册的，所以我们购买了公共域名后，其他人就不能购买这个域名了。

2. 私有 FQDN

术语“私有 FQDN”，描述使用被视为私有或非公共域名后缀的域后缀的 FQDN 名称。

私有域名后缀的优点是免费，每个人都“允许”使用它。

唯一的问题是，私有域名只能在内部网络中使用。
换句话说，我们无法使用包含私有域名的 FQDN 在公共网络中发布主机。

当涉及到 Active Directory 域名时，常见的做法是使用 Active Directory 的私有域名将内部组织的网络与公共网络“隔离”。

“理论”是——我们应该通过为内部主机提供一个不能在公共网络上发布的私有名称来将内部主机与公共网络分开，并通过这样做来保护该主机免受恶意元素的侵害。

公共 SAN 证书 |已弃用 - 内部服务器名称中的支持？ （非唯一名称）

在本节中，我想回顾一下 CA/浏览器论坛公告的主题：公共信任证书的颁发和管理的基线要求以及已弃用的支持：内部服务器名称？ （非唯一名称）将于 2015 年 11 月 1 日开始。

让我们从术语解释开始 - 内部服务器名称（非唯一名称）。
这个术语的“翻译”可以是：

• 单一名字
• 具有私有域名的 FQDN 名称

1. 单一名字

术语“内部服务器名称”的一种翻译？ （非唯一名称）是 - 使用“单一命名空间”作为主机名的主机名。

主机名的一个示例是名为 - mail 的服务器

在图中，我们可以看到术语“单一主机名”的其他同义词，例如本地名称、短名称等。

自 2015 年 11 月 1 日起，使用 SAN 公共证书时将不再支持此类主机名。

2. 具有私有域名的 FQDN 名称。

“内部服务器名称”一词的第二个“翻译”？ （非唯一名称）是 - 使用私有域名后缀的 FQDN 名称。

新的公共SAN证书标准将不支持使用非公共域名后缀的域名后缀的主机名。

此类主机 FQDN 的其他同义词有：

• 完全限定域名无效
• 未注册域名
• 私有域名