我正致力于实施使用X509证书进行身份验证和授权的Web服务。
指定实体类型(即"最终用户"或"设备")作为主题名称的一部分是否合适,例如OU RDN?
使用CN RDN指定实体的身份作为主题名称的一部分是否合适?
授权令牌是X509.v3扩展的一部分的最佳位置(我了解授权信息,例如"可以访问cookie jar",不属于主题名称部分)?
如果我要在证书中包含自定义扩展值,那么正确的方法是申请OID(通过PEN),并创建指定授权信息的子OID,并使用这些OID( s)作为扩展的OID?如果出于某种原因出现这种情况,那么任何有关如何以标准方式完成此事的指示都将不胜感激。
答案 0 :(得分:1)
在主题专有名称(DN)的公用名(CN)字段中指定实体的标识是正确的。 对于用户或设备,还应指定它们在主题DN中所属的组织(O)和/或组织单位(OU)。还有用户ID(UID)组件。
X.509的标准配置文件用于授权断言specified in RFC 5755。 属性证书包含一个或多个关于身份的属性,例如组成员身份,角色,许可级别等,以及引用公钥证书(即,通用类型的X.509证书)授权信息适用的身份。
这种标准化的方法避免了设计自定义X.509扩展的任何需要,因此,申请官方OID(也是如此,因为我不知道这个“官方”程序。)