Na verdade, você deve usar dnsName
entradas na subjectAltName
seção do certificado para especificar os FQDNs, não a parte CN do subject
. O uso subject
dessa função foi preterido desde que a RFC 2818 foi publicada em 2000. Citando a seção 3.1 :
Se uma extensão subjectAltName do tipo dNSName estiver presente, isso DEVE ser usado como a identidade. Caso contrário, o campo (mais específico) de nome comum no campo Assunto do certificado DEVE ser usado. Embora o uso do Nome Comum seja uma prática existente, ele foi descontinuado e as Autoridades de Certificação são incentivadas a usar o dNSName.
O único caso em que o conteúdo do subject
são relevantes no contexto de validação do certificado do servidor não é se não está dnsName
incluído no subjectAltName
, um caso que foi substituído nos últimos 17 anos no momento da escrita.
O uso de certificados curinga foi descontinuado, conforme mostrado na seção 7.2 da RFC 6125 :
Este documento afirma que o caractere curinga '*' NÃO DEVE ser incluído nos identificadores apresentados, mas PODE ser verificado pelos clientes do aplicativo (principalmente por uma questão de compatibilidade com a infraestrutura implantada).
Usar a mesma chave privada para vários serviços geralmente é considerado uma má prática. Se um dos serviços for comprometido, as comunicações de outros serviços estarão em risco e você precisará substituir a chave (e o certificado) de todos os serviços.
Sugiro a RFC 6125 como uma boa fonte de informações sobre esse assunto.