Sebenarnya, Anda harus menggunakan dnsName
entri di subjectAltName
bagian sertifikat untuk menentukan FQDN, bukan bagian CN dari subject
. Penggunaan subject
untuk tujuan ini telah ditinggalkan sejak RFC 2818 diterbitkan pada tahun 2000. Mengutip bagian 3.1 :
Jika ekstensi subjectAltName tipe dNSName hadir, itu HARUS digunakan sebagai identitas. Jika tidak, bidang Nama Umum (paling spesifik) dalam bidang Subjek sertifikat HARUS digunakan. Meskipun penggunaan Nama Umum adalah praktik yang sudah ada, itu sudah usang dan Otoritas Sertifikasi didorong untuk menggunakan dNSName sebagai gantinya.
Satu-satunya kasus di mana konten subject
relevan dalam konteks validasi sertifikat server adalah jika tidak ada yang dnsName
disertakan dalam subjectAltName
, kasus yang telah ditinggalkan selama 17 tahun terakhir pada saat penulisan.
Penggunaan sertifikat wildcard sudah tidak berlaku lagi, seperti yang ditunjukkan oleh bagian 7.2 dari RFC 6125 :
Dokumen ini menyatakan bahwa karakter wildcard '*' TIDAK HARUS dimasukkan dalam pengidentifikasi yang disajikan tetapi MUNGKIN diperiksa oleh klien aplikasi (terutama demi kompatibilitas mundur dengan infrastruktur yang digunakan).
Menggunakan kunci pribadi yang sama untuk beberapa layanan biasanya dianggap praktik buruk. Jika salah satu layanan dikompromikan, komunikasi dari layanan lain akan berisiko dan Anda harus mengganti kunci (dan sertifikat) untuk semua layanan.
Saya menyarankan RFC 6125 sebagai sumber informasi yang baik tentang masalah ini.