【发布时间】:2017-04-11 15:18:03
【问题描述】:
是否必须指定主题属性 - C、ST、L、O、OU、CN 的特定顺序。 openssl 似乎没有强制执行命令。
在生成专有名称时,我们是否会获取证书中配置的所有主题属性?属性的顺序重要吗?
【问题讨论】:
标签: certificate x509 subject
【发布时间】:2017-04-11 15:18:03
【问题描述】:
是否必须指定主题属性 - C、ST、L、O、OU、CN 的特定顺序。
据我所知,没有指定顺序。将使用您指定的顺序,并在此顺序中生成 DN,即 PKCS#10 请求。
在生成专有名称时,我们是否会获取证书中配置的所有主题属性?
CA 可能(并且很可能会)在颁发证书时使用您的 PKCS#10 请求中的 DN,但它可以决定不同的顺序。在颁发 SSL 服务器证书时,一些 RDN(相对可分辨名称)可以移动到扩展名,即 emailAddress 或复制到 CN 到 SubjectAlternativeName 等扩展名。
属性的顺序重要吗?
恕我直言,订购无关紧要。这对某些使用证书的应用程序可能很重要,但通常顺序无关紧要。
【讨论】:
-
这是一篇描述该问题的文章。 tltr:订单很重要:frasertweedale.github.io/blog-redhat/posts/…
理论上没关系,但在实践中,如果父证书主题中的令牌顺序与子证书中颁发者字段中的令牌顺序不同,则某些加密库无法构建链。如果您不想遇到任何奇怪的问题,它们应该完全相同。
例如,如果主题/颁发者字段中的令牌顺序不同,即使是 Windows 10 工具 (mmc) 也无法正确显示链。
【讨论】:
-
与 java 相同。在
sun.security.pkcs12.PKCS12KeyStore中,如果主题(-字符串)分别验证链验证失败。 issuer(-string) 以不同的顺序对实际属性进行编码。