基于以下使用 TLS 配置 Haproxy 的参考链接:
我是否需要在所有目标节点上生成具有通用 SAN(使用者备用名称(的证书(或(
没有任何通用 SAN 的单个证书会起作用吗?
https://serversforhackers.com/c/using-ssl-certificates-with-haproxy
查看 https://security.stackexchange.com/questions/172626/chrome-requires-san-names-in-certificate-when-will-other-browsers-ie-follow:某些浏览器(Chrome(要求名称位于SAN部分中,因为它们现在完全忽略了CN字段
因此,即使对于一个域证书,您也需要 CN(因为这不是可选的(和 SAN 部分中的域。
它也在CAB论坛要求第7.1.4.2.1节中:
证书字段:扩展名:主题AltName
必需/可选:必需
内容:此扩展必须至少包含一个条目。 每个条目必须是包含完全限定的 dNSName 域名或包含服务器 IP 地址的地址。 CA必须确认申请人控制完全合格的 域名或 IP 地址或已被授予使用权 域名注册人或 IP 地址受让人(视情况而定(。 允许使用通配符 FQDN。
请注意,其他一些浏览器(如 Firefox(会回退到 CN,请参阅 https://bugzilla.mozilla.org/show_bug.cgi?id=1245280,并在 https://hg.mozilla.org/mozilla-central/rev/dc40f46fae48 时查看补丁开始,了解security.pki.name_matching_mode配置选项。