O skupinových (wildcard) certifikátech

Asi víte, že certifikáty obsahující zástupný (wildcard) znak "*" v Obecném názvu (CommonName, CN) serveru se nazývají skupinové (wildcard) certifikáty.

Na druhé straně RFC 2595 "Používání TLS s IMAP, POP3 a ACAP", uvádí:

RFC 2459 při popisu porovnávání názvu počítače/domény skupinové domény (wildcards) výslovně nezmiňuje.

Zdá se tedy, že pro různé protokoly existují různé specifikace...

Zbývá: prozkoumat blíže RFC 3280 a RFC 5280

Chyba v IIS

Kódování žádosti o certifikát vytvořené pomocí IIS a obsahující zástupný znak "*" (wildcard) skončí chybou:

The following hostnames were rejected because the system couldn't link them to your account, if they are valid please verify the domains against your account.

česky:

Následující názvy počítačů byly odmítnuty, protože je systém nemohl propojit s Vaším účtem; pokud jsou platné, prosím ověřte domény podle svého účtu.

[Patrně jde o IIS verzi 5 nebo 6.]

Řešení

Použijte návod Vytvoření žádosti o certifikát pomocí OpenSSL s obecným názvem (Common Name, CN), který obsahuje "*" (wildcard) a importujte hotový certifikát do IIS.

IIS 8 na Windows serveru 2012 R2

V této verzi lze vytvořit:

  1. certifikát - bez specifikace, do souboru žádosti, nelze zde zadat alternativní názvy (SAN),
  2. certifikát domény - nevytváří soubor žádosti a získá certifikát u místní certifikační autority dosažitelné v místní síti; rovněž nelze zadat alternativní názvy.

Pro CAcert certifikáty je použitelná první funkce. Funkcí "Vytvořit žádost o certifikát..." se žádost vytvoří i s CN obsahujícím zástupný znak "*" a do souboru se uloží bez problémů. Chyba nastane až u funkce "Dokončit žádost o certifikát...", kde je třeba zadat soubor s vystaveným certifikátem od CA - ohlásí se, že nešlo certifikát odebrat (!), avšak po obnově zobrazení certifikátů je nový skupinový certifikát viditelný, jeho předmět skutečně obsahuje zástupný znak "*" a vše vypadá, že je v pořádku: certifikát lze v IIS (web --> vazby --> https) použít a je funkční.

Pro možnost zavedení alternativních názvů (SAN), například "*.firma.cz" a "firma.cz" je asi vhodnější vytvořit žádost pomocí MMC modulu Certifikáty.

Studie interoperability

Protože Mozilla neporovnává názvy podle RFC 2818, mohou existovat jiné produkty, které to také nedělají.

Přidejte sem laskavě svůj vlastní program typu prohlížeč/nástroj/knihovna/aplikace.

OpenSSL

Knihovna OpenSSL neobsahuje kód ke kontrole názvu serveru v certifikátu, takže záleží pouze na aplikaci, zda skupinový certifikát (wildcard) přijme.

Internet Explorer

Internet Explorer 6.0.2800.1106: * neporovná podřízené domény

Mozilla & Co

SeaMonkey 1.0.5 na Linuxu i Windows: * porovnává podřízené domény.

Firefox

Konqueror

Oprava v SVN v listopadu 2005: http://bugs.kde.org/show_bug.cgi?id=106476

Opera

Safari

Lynx

Pod-verze