X.509 中 DN 的所有部分都是可选的吗?
来自 RFC3280:
本规范的实现必须准备好在发布者和主题(第 4.1.2.6 节)名称中接收以下标准属性类型:
* country, * organization, * organizational-unit, * distinguished name qualifier, * state or province name, * common name (e.g., "Susan Housley"), and * serial number.
我找不到这些是否是强制性的。
我之所以问,是因为我看到了一个由受信任的 CA 签名的证书,但在颁发者的字段CN中缺少该证书(C而且我认为这并不重要)。
我期待这CN是强制性的。是吗?从发行人的字段
中省略 是否有任何安全隐患?CN
正如@Bruno 所说,RFC3280 中没有要求颁发者 DN 具有 CN。RFC3280 指出:
issuer 字段必须包含一个非空的专有名称(DN)。
但是,RFC3280 对应该存在哪些 RDN 没有任何要求。大多数 CA 确实在颁发者 DN 中包含 CN,但有些不包含,例如此 Equifax CA。
OU = Equifax 安全证书颁发机构,O = Equifax,C = 美国
或者这个 Verisign CA。
OU = VeriSign Trust Network,OU = "(c) 1998 VeriSign, Inc. - 仅供授权使用",OU = Class 3 Public Primary Certification Authority - G2,O = "VeriSign, Inc.",C = US
使用 RFC3280 的路径构建和验证不需要颁发者 DN 中的 CN。
RFC 说主题的名称可能出现在主题备用名称扩展中。第 4.2.1.7 节说明了以下内容(必须是您的情况):
此外,如果证书中包含的唯一主题身份是替代名称形式(例如,电子邮件地址),则主题专有名称必须为空(空序列),并且主题AltName 扩展必须存在。如果主题字段包含一个空序列,主题AltName 扩展必须标记为关键。
X509 证书应该比较整个 dn。那是
Dn1 == Dn2
如果两个专有名称 DN1 和 DN2 具有相同数量的 RDN,则它们匹配,对于 DN1 中的每个 RDN,DN2 中都有一个匹配的 RDN,并且匹配的 RDN 在两个 DN 中以相同的顺序出现。
每个组件都是可选的,它们可以重复。但是,匹配需要所有字段匹配。