X.509证书中的公共名称属性(CN)应该是唯一的吗?

时间:2012-08-30 13:57:19

标签: x509certificate pki

我正在为我的应用程序实现PKI身份验证,我在网上阅读的所有内容都表示您从证书主题中提取CN属性,并使用CN在LDAP服务器中查找用户,例如。

但是,当我浏览公司的LDAP目录时,每个用户的CN属性只是名字和姓氏。这不能唯一地识别组织单位或公司中的用户。这是否意味着CN在这里设置不正确?我在网上看到的CN值的例子通常是名字,姓氏和电子邮件地址的串联。这是CN属性采用的通常格式吗?

1 个答案:

答案 0 :(得分:2)

根据RFC 5280,证书的主题是X.500可分辨名称(DN)(请参阅http://tools.ietf.org/html/rfc5280#page-23上的第4.1.2.6节)。是的,DN必须对每个主题都是唯一的。您可以选择一些独特的内容,例如电子邮件地址,员工ID或用户帐户,而不是名字/姓氏连接。

另请注意,DN可能有多个元素而不是单个CN(公用名)条目,但我认为这超出了问题的范围。