我对证书中的 DN 有几个问题,
多个用户的证书是否可以由同一个 CA 颁发相同的 DN?此外,一个用户可以拥有多个具有相同 DN 和相同有效期的证书吗?
如果我们有多个 CA,是否可以在用户证书 DN 的某些属性中包含 CA 相关信息(序列号、名称或 ID 等)?例如 cn=user001,ou=SSL,欧=001,o=DS,c=US。如果是,那么我们可以为其使用哪个属性?
如果可能,请提供名称或 RFC/标准链接以获取进一步指导。
谢谢
答案1
- 是的。您可以颁发具有相同 DN 的证书,但此类证书应属于同一用户。根据RFC5280,第 4.1.2.6 节:
如果主题字段非空,则必须包含 X.500 专有名称 (DN)。对于由颁发者字段定义的 CA 认证的每个主题实体,DN 必须是唯一的。CA 可以向同一主题实体颁发多个具有相同 DN 的证书。
- 虽然这是可能的,但我不认为你建议的是最好的方法。每个证书都必须包含一个“颁发者”字段,该字段必须为非空,并且必须包含 DN(请参阅第 4.1.2.4 节上述 RFC 的扩展名应明确标识 CA(例如,它可以包含 serialNumber 字段)。除此之外,您还可以在颁发机构密钥标识符扩展中包含有关签名者证书的任何类型的信息,因此这是任意属性的位置。