默认情况下,unique_subject设置为yes,这可以防止您对多个
具有相同专有名称的证书。尝试签署此类证书将
导致出现以下错误消息。
failed to update database
TXT_DB error number 2
但是有一个明确的用例允许重复的dn,即颁发证书 延长有效期的依赖方。例如, 几个月后需要刷新的网站(类似的论点是 在[1]中完成)。在不更改设置的情况下,您只能使用 如果您撤销现有证书,则相同dn。但您可能想给 网站的宽限期,两个证书均有效。我唯一的其他选择 碰到的是更改dn中不相关的某些内容(例如OU) 证书[2]。
openssl文档[3]中有一个unique_subject条目,他们建议
选择默认值是为了与旧版本兼容。页面也
提到应将此值设置为no,以使ca转换更容易。这个
向我建议no的值很好,也许应该是默认值。
可以找到对该属性的许多引用,通常建议将此值
应该设置为no(在openssl.cnf和index.txt.attr文件中)[1、2、3、4,许多
更多]。我只发现了一个有人建议将其留在yes的地方,或者至少是
对它的实际值不够在意[5]。但是,在那个线程中,只有一条空白的语句
被给予:
For the use case of a VPN, as EasyRSA was originally intended, the current setting is
best.
是吗?为什么?
我了解该选项的作用以及如何使用它。我找不到合理的理由
较早的默认设置yes。
openssl是否有尝试使用此默认值解决的安全问题?
颁发具有相同dn的两个证书有什么风险?
设置unique_subject=no时应遵循一些做法吗?
是否有充分的理由将值保留为默认设置?
简而言之,有一些论点支持使用 相同的dn吗?
[1] https://github.com/OpenVPN/easy-rsa/issues/40#issuecomment-56191531
[2] https://serverfault.com/a/810608(在https://serverfault.com/questions/810557/how-do-i-issue-multiple-certificates-for-the-same-common-name上的答案)
[3] https://www.openssl.org/docs/man1.1.1/man1/openssl-ca.html
[4] How do you sign a Certificate Signing Request with your Certification Authority?
[5] https://github.com/OpenVPN/easy-rsa/issues/40#issuecomment-150035723