证书科目X.509

时间:2011-06-24 06:13:37

标签: certificate x509 asn.1 dn

根据X.509,证书具有属性主题。

C=US, ST=Maryland, L=Pasadena, O=Brent Baccala, OU=FreeSoft,
CN=www.freesoft.org/emailAddress=baccala@freesoft.org

这是典型的主题价值。问题是这些属性(C,ST,L,O,OU,CN)的类型(或标签)是什么,它们的格式是什么?

2 个答案:

答案 0 :(得分:75)

IETF PKIX(最新版本RFC 5280)是一个广为接受的证书配置文件。从4.1.2.4节开始,必须支持以下字段(我在括号之间添加了OpenSSL长和可选的短名称):

  • country(countryName,C),
  • 组织(organizationName,O),
  • 组织单位(organizationalUnitName,OU),
  • 专有名称限定符(dnQualifier),
  • 州或省名称(stateOrProvinceName,ST),
  • 通用名称(commonName,CN)和
  • 序列号(serialNumber)。

还有一个应该支持的元素列表:

  • locality(locality,L),
  • 标题(标题),
  • 姓氏(surName,SN),
  • 给定名称(givenName,GN),
  • 姓名缩写(姓名缩写),
  • 假名(假名)和
  • 生成限定符(generationQualifier)。

值应该用UTF8String或PrintableString编码(其中一些只在PrintableString中编码,IA5String中有一些例外)。该标准还具有所有字段类型的最大长度(附录A.1)

出于兼容性原因,实现还必须支持在IA5String中编码的域组件(domainComponent,DC)。请注意电子邮件(emailAddress)及其编码(IA5String,但它在DN中被认为已弃用(它应该在主题备用名称扩展名中)。

答案 1 :(得分:1)

除了参考 RFC 5280 的优秀答案外,还可以参考 RFC 8399 Internationalization Updates to RFC 5280。 RFC 8399 规定了如何处理国际化域名和电子邮件地址,按照更新的 IDNA 2008。RFC 5280 与过时的 IDNA 2003 保持一致,并不清楚如何处理本地部分不限于 ASCII 的电子邮件地址.