7

X.509 の DN のすべての部分はオプションですか?
RFC3280 から:

この仕様の実装は、発行者とサブジェクト (セクション 4.1.2.6) 名で次の標準属性タイプを受け取るように準備する必要があります。

  * country,
  * organization,
  * organizational-unit,
  * distinguished name qualifier,
  * state or province name,
  * common name (e.g., "Susan Housley"), and
  * serial number.

これらのいずれかが必須かどうかはわかりませんでした。
信頼できる CA によって署名された証明書が表示されているのに、発行者のフィールドに が表示されていないため、質問していますCN(Cただし、それは重要ではないと思います)。私はそれが必須
であることを期待していました。CNそれは...ですか?発行者のフィールドからの
省略のセキュリティへの影響はありますか?CN

4

3 に答える 3

6

@Bruno が言うように、RFC3280 には発行者 DN が CN を持つ必要はありません。RFC3280 は次のように述べています。

発行者フィールドには、空でない識別名 (DN) を含める必要があります。

ただし、RFC3280 では、RDN が存在する必要があるという要件はありません。ほとんどの CA では発行者 DN に CN が含まれていますが、この Equifax CA のように含まれていないものもあります。

OU = Equifax セキュア認証局、O = Equifax、C = 米国

または、この Verisign CA.

OU = VeriSign Trust Network,OU = "(c) 1998 VeriSign, Inc. - For Authorized Use Only",OU = Class 3 Public Primary Certification Authority - G2,O = "VeriSign, Inc.",C = US

RFC3280 を使用したパスの構築と検証では、発行者 DN に CN は必要ありません。

于 2012-04-23T11:53:59.450 に答える
1

RFC によると、サブジェクトの名前は Subject Alternative Name 拡張に存在する可能性があります。セクション4.2.1.7は次のように述べています(これはあなたのケースでなければなりません):

さらに、証明書に含まれる唯一のサブジェクト ID が代替名形式 (電子メール アドレスなど) である場合、サブジェクトの識別名は空(空のシーケンス) である必要があり、subjectAltName 拡張子が存在する必要があります。サブジェクト フィールドに空のシーケンスが含まれている場合、subjectAltName 拡張はクリティカルとマークされなければなりません。

于 2012-04-23T07:16:25.380 に答える
0

X509 証明書は dn 全体を比較する必要があります。あれは

Dn1 == Dn2

DN1 と DN2 の 2 つの識別名は、RDN の数が同じである場合に一致します。DN1 の各 RDN には一致する RDN が DN2 にあり、一致する RDN は両方の DN で同じ順序で表示されます。

各コンポーネントはオプションであり、繰り返すことができます。ただし、一致するにはすべてのフィールドが一致する必要があります。

iETF rfc5280から

于 2016-03-11T16:23:24.380 に答える