簡體 English 中英

證書主題 X.509

[英]Certificate subject X.509

原文 2011-06-24 06:13:36 4 3 certificate/ x509/ asn.1/ dn

根據 X.509，證書具有屬性主題。

C=US, ST=Maryland, L=Pasadena, O=Brent Baccala, OU=FreeSoft,
CN=www.freesoft.org/emailAddress=baccala@freesoft.org

這是典型的主題值。 問題是這些屬性（C、ST、L、O、OU、CN）的類型（或標簽）是什么？它們的格式是什么？

3 個解決方案

IETF PKIX（最新版本RFC 5280 ）是公認的證書配置文件。 從第 4.1.2.4 節開始，必須支持以下字段（我在括號之間添加的是 OpenSSL 長名稱和可選短名稱）：

國家（國家名稱，C），
組織（組織名稱，O），
組織單位（organizationalUnitName，OU），
專有名稱限定符 (dnQualifier)，
州或省名稱 (stateOrProvinceName, ST)，
通用名稱 (commonName, CN) 和
序列號（serialNumber）。

還有一個應該支持的元素列表：

地方（地方，L），
標題（標題），
姓氏（姓氏，SN），
名字 (givenName, GN),
首字母（首字母），
筆名（化名）和
代限定符（generationQualifier）。

值應該以 UTF8String 或 PrintableString 編碼（其中一些僅在 PrintableString 中，而一些例外在 IA5String 中）。 該標准還為所有字段類型設置了最大長度（附錄 A.1）

出於兼容性原因，實現還必須支持以 IA5String 編碼的域組件（domainComponent、DC）。 注意電子郵件 (emailAddress) 及其編碼 (IA5String，但它在 DN 中被認為已棄用（它應該在主題備用名稱擴展中）。

除了參考 RFC 5280 的優秀答案外，還請參閱RFC 8399 Internationalization Updates to RFC 5280 。 RFC 8399 規定了如何處理國際化域名和電子郵件地址，按照更新的 IDNA 2008。RFC 5280 與過時的 IDNA 2003 保持一致，並不清楚如何處理本地部分不限於 ASCII 的電子郵件地址.

對於那些想要這些屬性的確切格式的人， RFC5280 中沒有給出：

大寫標記在RFC4519中有詳細說明，這是LDAP 模式。 本文檔還鏈接到描述每個特定屬性和數據類型的精確語法和語義的其他 RFC。

例如，國家/地區代碼“C”遵循RFC4517和ISO3166 ，后者給出了實際的兩字母代碼。 並且域組件“DC”是符合RFC1034的 dns 名稱。