我正在为我的应用程序实现PKI身份验证,我在网上阅读的所有内容都表示您从证书主题中提取CN属性,并使用CN在LDAP服务器中查找用户,例如。
但是,当我浏览公司的LDAP目录时,每个用户的CN属性只是名字和姓氏。这不能唯一地识别组织单位或公司中的用户。这是否意味着CN在这里设置不正确?我在网上看到的CN值的例子通常是名字,姓氏和电子邮件地址的串联。这是CN属性采用的通常格式吗?
答案 0 :(得分:2)
根据RFC 5280,证书的主题是X.500可分辨名称(DN)(请参阅http://tools.ietf.org/html/rfc5280#page-23上的第4.1.2.6节)。是的,DN必须对每个主题都是唯一的。您可以选择一些独特的内容,例如电子邮件地址,员工ID或用户帐户,而不是名字/姓氏连接。
另请注意,DN可能有多个元素而不是单个CN(公用名)条目,但我认为这超出了问题的范围。