主页 / coding / 问题 / 79568276
Accepted
Qianxin Cheng
Asked: 2025-04-11 15:39:09 +0800 CST

RFC 5280 是否要求 RelativeDistinguishedName 可以存储电子邮件地址?

  • 772

我在 RFC 4514 中看到,它规定了 Distinguished Name 必须支持以下短名称。

CN 通用名称(2.5.4.3) L 地点名称(2.5.4.7) ST 州或省名称(2.5.4.8) O 组织名称(2.5.4.10) OU 组织单位名称(2.5.4.11) C 国家名称(2.5.4.6) STREET 街道地址(2.5.4.9) DC 域组件(0.9.2342.19200300.100.1.25) UID 用户 ID(0.9.2342.19200300.100.1.1)

我们看到,短名称“emailAddress”没有包含在内。所以,我想问一下,RFC 5280 是否规定“emailAddress”是可分辨名称中必须支持的短名称之一?

ssl-certificate

1 个回答

  1. Best Answer

    RFC 5280 并未要求支持 Email 组件 (1.2.840.113549.1.9.1)。然而,RFC 对此做了如下说明 ( §4.1.2.4 ):

    如上所述,可分辨名称由属性组成。本规范不限制名称中可出现的属性类型集。但是,符合规范的实现必须准备好接收颁发者名称包含以下定义的属性类型集的证书。 本规范建议支持其他属性类型

    这句话有几个含义:

    • 对于 RDN 序列中可以出现的 RDN 没有限制
    • 一些 RDN 必须由实现支持
    • 建议支持未列出的 RDN(包括但不限于 X.520),这表明应用程序在遇到未知 RDN 时不会失败。

    实际上,许多 RFC 5280 实现都广泛支持电子邮件 RDN,因为此属性已被支持 S/MIME 的应用程序(例如电子邮件客户端和服务器)所使用。不过,值得一提的是,当证书包含 SAN 扩展名时,在“主题”字段中包含或省略电子邮件属性可能没有任何影响。DirectoryName ASN.1 类型原生支持rfc822Name电子邮件地址的名称类型。也就是说,当证书必须包含电子邮件时,必须在 SAN 扩展名中填充它。(可选,但非强制)可以在“主题”字段中重复此属性。

    • 2

相关问题