it-swarm.com.de

Zertifikatssubjekt X.509

Laut X.509 hat ein Zertifikat ein Attribut subject.

 C = USA, ST = Maryland, L = Pasadena, O = Brent Baccala, OU = FreeSoft, 
 CN=www.freesoft.org/[email protected] 

Dies ist der typische Subjektwert. Die Frage ist, welche Typen (oder Tags) dieser Attribute (C, ST, L, O, OU, CN) und in welchem ​​Format sie vorliegen.

50
Sergey

IETF PKIX (neueste Version RFC 528 ) ist ein anerkanntes Profil für Zertifikate. Ab Abschnitt 4.1.2.4 müssen die folgenden Felder unterstützt werden (in Klammern steht der lange und optionale OpenSSL-Kurzname):

  • land (countryName, C),
  • organisation (Organisationsname, O),
  • organisationseinheit (organizationUnitName, OU),
  • distinguished Name Qualifier (dnQualifier),
  • name des Bundesstaates oder der Provinz (stateOrProvinceName, ST),
  • allgemeiner Name (commonName, CN) und
  • seriennummer (serialNumber).

Es gibt auch eine Liste von Elementen, die unterstützt werden sollten:

  • lokalität (Lokalität, L),
  • titel (title),
  • nachname (Nachname, SN),
  • vorname (Vorname, GN),
  • initialen (Initialen),
  • pseudonym (Pseudonym) und
  • generationsqualifizierer (generationQualifier).

Werte sollten in UTF8String oder PrintableString codiert werden (einige nur in PrintableString und einige Ausnahmen in IA5String). Der Standard hat auch eine maximale Länge für alle Feldtypen (Anhang A.1)

Aus Kompatibilitätsgründen müssen Implementierungen auch Domänenkomponenten (domainComponent, DC) unterstützen, die in IA5String codiert sind. Es wird auf E-Mail (emailAddress) und deren Codierung (IA5String) hingewiesen, diese wird jedoch in DNs als veraltet betrachtet (sie sollte die Erweiterung "Subject Alternative Name" aufweisen).

78