證書 DN

我有幾個與證書中的 DN 相關的問題，

1. 多個使用者證書是否可以具有由同一 CA 頒發的相同 DN？另外，一個使用者可以擁有多個具有相同 DN 和相同有效性的證書嗎？
2. 如果我們有多個 CA，是否可以在使用者證書 DN 的某些屬性中包含 CA 相關資訊（序列號、名稱或 ID 等）？例如 cn=user001,ou=SSL, ou=001 ,o=DS,c=US。如果是，那麼我們可以使用哪個屬性？

如果可能，請提供 RFC / 標準的名稱或連結以獲得進一步的指導。

謝謝

1. 是的。您可以頒發具有相同 DN 的證書，但此類證書應屬於同一使用者。根據RFC5280，第 4.1.2.6 節：

如果它是非空的，主題欄位必須包含一個 X.500 專有名稱 (DN)。對於由一個 CA 認證的每個主題實體，DN 必須是唯一的，該 CA 由頒發者欄位定義。一個 CA 可以向同一個主題實體頒發多個具有相同 DN 的證書。

2. 雖然有可能，但我認為你的建議不是最好的方法。每個證書都必須包含一個“頒發者”欄位，該欄位必須是非空的，並且必須包含一個 DN（參見上述 RFC 的第 4.1.2.4 節），它應該明確標識 CA（它可以包含一個序列號欄位，例如）。除此之外，您可以在授權密鑰標識符擴展中包含有關簽名者證書的任何類型的資訊，這樣就可以放置任意屬性。

引用自：https://serverfault.com/questions/885493