证书DN

Question

我对证书中的DN几乎没有疑问，

1. 多个用户证书是否有可能由同一个CA颁发相同的DN？另外，一个用户是否可以拥有具有相同DN和相同有效性的多个证书？
2. 如果我们有多个CA，是否可以在用户证书DN的某些属性中包含CA相关信息(序列号、名称或id等)？例如cn=user001，ou=SSL，ou=001，o=DS，c=US。如果是，那么我们可以使用哪个属性呢？

如有可能，请提供RFC /标准的名称或链接，以获得进一步指导。

谢谢

Answer 1

1. 是。您可以使用相同的DN颁发证书，但这类证书应该属于同一个用户。根据第5280，第4.1.2.6节的说法：

如果是非空的，则subject字段必须包含X.500可分辨名称(DN)。对于每个主题实体，DN必须是唯一的，该实体由由颁发者字段定义的一个CA认证。CA可以向同一个主题实体颁发具有相同DN的多个证书。

1. 虽然这是可能的，但我不认为你的建议是最好的方法。每个证书都必须包含一个“颁发者”字段，该字段必须是非空的，并且必须包含一个DN (参见已格式化的RFC的第4.1.2.4节 )，该字段应该明确地标识CA (例如，它可以包含一个serialNumber字段)。除此之外，您还可以在授权密钥标识符扩展中包含有关签名者证书的任何类型的信息，因此这是任意属性的位置。