Назад | Перейти на главную страницу

Сертификаты DN

У меня несколько вопросов, связанных с DN в сертификатах,

  1. Возможно ли, чтобы сертификаты нескольких пользователей имели одинаковый DN, выданный одним и тем же центром сертификации? Кроме того, может ли один пользователь иметь несколько сертификатов с одинаковым DN и сроком действия?

  2. Можно ли включить информацию, связанную с ЦС (серийный номер, имя или идентификатор и т. Д.) В какой-либо атрибут DN сертификата пользователя, если у нас несколько ЦС? например cn = user001, ou = SSL,ou = 001, o = DS, c = США. Если да, то какой атрибут мы можем использовать для этого?

Если возможно, укажите название или ссылку на RFC / стандарт для дальнейших указаний.

Спасибо

  1. Да. Вы можете выдавать сертификаты с одним и тем же DN, но такие сертификаты должны принадлежать одному пользователю. В соответствии с RFC5280, раздел 4.1.2.6:

Если оно не пусто, поле темы ДОЛЖНО содержать отличительное имя (DN) X.500. DN ДОЛЖЕН быть уникальным для каждого субъекта, сертифицированного одним ЦС, как определено в поле эмитента. ЦС МОЖЕТ выдать более одного сертификата с одним и тем же DN одному субъекту.

  1. Хотя это возможно, но я не думаю, что то, что вы предложили, является лучшим способом. Каждый сертификат должен содержать поле «издатель», которое не должно быть пустым и должно содержать DN (см. раздел 4.1.2.4 упомянутого RFC), который должен однозначно идентифицировать CA (например, он может содержать поле serialNumber). В дополнение к этому вы можете включить любую информацию о сертификате подписавшего в расширение идентификатора ключа центра сертификации, так что это место для произвольных атрибутов.