X.509中DN的所有部分是否可选?
来自RFC3280:
必须准备接收本规范的实现 发行人和主题中的以下标准属性类型 (第4.1.2.6节)姓名:
* country, * organization, * organizational-unit, * distinguished name qualifier, * state or province name, * common name (e.g., "Susan Housley"), and * serial number.
我无法找到其中任何一项是强制性的
我问,因为我看到的是由受信任的CA签署的证书,但在发行人的字段中CN丢失了(C,但我认为这不重要。)
我期待CN是强制性的。是吗?
从发行人的领域遗漏CN是否有任何安全隐患?
答案 0 :(得分:6)
正如@Bruno所说,RFC3280中没有要求发行人DN拥有CN。 RFC3280声明:
issuer字段必须包含非空的可分辨名称(DN)。
但是,RFC3280不对要出现哪个RDN提出任何要求。大多数CA确实在发行方DN中包含CN,但有些则不包括,例如此Equifax CA.
OU = Equifax安全证书颁发机构,O = Equifax,C = US
或此Verisign CA。
<=> OU = VeriSign Trust Network,OU =“(c)1998 VeriSign,Inc。 - For 仅授权使用“,OU = 3级公共初级认证 权威 - G2,O =“VeriSign,Inc。”,C = US
使用RFC3280构建和验证路径不需要发行方DN中的CN。
答案 1 :(得分:1)
RFC表示主题名称可能出现在主题备用名称扩展名中。第4.2.1.7节说明如下(必须是你的情况):
此外,如果证书中包含的唯一主题标识是 另一种名称形式(例如,电子邮件地址),然后是 主题专有名称必须为空(空序列),以及 subjectAltName扩展必须存在。如果是主题字段 包含一个空序列,subjectAltName扩展名必须是 标记为关键。
答案 2 :(得分:0)
X509证书应该比较整个dn。那是
Dn1 == Dn2
两个专有名称DN1和DN2匹配 具有相同数量的RDN,对于DN1中的每个RDN,存在匹配 DN2中的RDN和匹配的RDN在两者中以相同的顺序出现 DNS。
每个组件都是可选的,可以重复使用。但是匹配需要所有字段匹配。