3

私は自分のアプリケーションにPKI認証を実装していますが、オンラインで読んだことはすべて、証明書の件名からCN属性を抽出し、CNを使用してLDAPサーバーでユーザーを検索することを示しています。

ただし、会社のLDAPディレクトリを参照すると、すべてのユーザーのCN属性は名前と名前にすぎません。これは、組織単位または会社全体でユーザーを一意に識別するものではありません。これは、CNがここで正しく設定されていないことを意味しますか?私がオンラインで見たCN値の例は、通常、姓名と電子メールアドレスの連結です。これはCN属性がとる通常の形式ですか?

4

1 に答える 1

2

証明書の件名は、RFC 5280に準拠したX.500識別名(DN)です( https://www.rfc-editor.org/rfc/rfc5280#page-23のセクション4.1.2.6を参照)。はい、DNはサブジェクトごとに一意である必要があります。名と名前を連結する代わりに、電子メールアドレス、従業員ID、ユーザーアカウントなどの一意の名前を選択できます。

また、DNには単一のCN(共通名)エントリではなく複数の要素が含まれる場合がありますが、それは質問の範囲を超えていると思います。

于 2012-08-30T14:07:04.887 に答える