3.7.3. SAN 拡張での CN 属性の使用
RFC 2818 で非推奨となったドメイン名の検証に、サブジェクト DN の Common Name (CN) 属性の使用に対応しなくなりました。代わりに、これらのアプリケーションやライブラリーは、証明書要求で
dNSName の Subject Alternative Name (SAN) の値を使用します。
Certificate System は、RFC 1034 セクション 3.5 に従って優先名前構文と一致し、複数のコンポーネントを持つ場合にのみ CN をコピーします。また、既存の SAN 値が保持されます。たとえば、CN をベースとする
dNSName 値は、既存の SAN に追加されます。
SAN 拡張の CN 属性を使用するように Certificate System を設定するには、証明書を発行するために使用する証明書プロファイルを編集します。以下に例を示します。
- プロファイルを無効にします。
# pki -c password -p 8080 \ -n "PKI Administrator for example.com" ca-profile-disable profile_name - プロファイルを編集します。
# pki -c password -p 8080 \ -n "PKI Administrator for example.com" ca-profile-edit profile_name- プロファイルに固有のセット番号を使用して、以下の設定を追加します。以下に例を示します。
policyset.serverCertSet.12.constraint.class_id=noConstraintImpl policyset.serverCertSet.12.constraint.name=No Constraint policyset.serverCertSet.12.default.class_id=commonNameToSANDefaultImpl policyset.serverCertSet.12.default.name=Copy Common Name to Subject前述の例では、12 をセット番号として使用しています。 policyset.userCertSet.listパラメーターに新しいポリシーセット番号を追加します。以下に例を示します。policyset.userCertSet.list=1,10,2,3,4,5,6,7,8,9,12- プロファイルを保存します。
- プロファイルを有効にします。
# pki -c password -p 8080 \ -n "PKI Administrator for example.com" ca-profile-enable profile_name
注記
すべてのデフォルトサーバーグループに、
commonNameToSANDefaultImpl のデフォルトが含まれます。