例如,我正在为我的应用程序实现 PKI 身份验证,并且我在网上阅读的所有内容都说您从证书主题中提取 CN 属性并使用 CN 在 LDAP 服务器中查找用户。
但是,当我浏览公司的 LDAP 目录时,每个用户的 CN 属性只是名字和姓氏。这不会唯一地标识组织单位或公司中的用户。这是否意味着这里没有正确设置CN?我在网上看到的 CN 值的示例通常是名字、姓氏和电子邮件地址的串联。这是 CN 属性采用的常用格式吗?
问问题
4659 次
1 回答
2
证书的主题是根据 RFC 5280 的 X.500 可分辨名称 (DN)(请参阅https://www.rfc-editor.org/rfc/rfc5280#page-23上的第 4.1.2.6 节)。是的,每个主题的 DN 必须是唯一的。您可以选择独特的东西,例如电子邮件地址、员工 ID 或用户帐户,而不是名字/姓氏的串联。
另请注意,DN 可能有多个元素而不是单个 CN(通用名称)条目,但我认为这超出了问题的范围。
于 2012-08-30T14:07:04.887 回答