我使用keytool创建一个包含此主题的x509证书:
CN = alice,OU =演示客户端,O = myCompany,L = Site1,ST = wll,C = nz
但是在我创建CSR并签署条目后(我使用“openssl ca”),我的“O”和“L”突然颠倒了:
CN = alice,OU =演示客户端,L = Site1,O = myCompany,ST = wll,C = nz
这两个主题是否仍然被认为是相同的?或者订单重要吗?
答案 0 :(得分:-1)
它们可能相同或不同,具体取决于主题可分辨名称(DN)在CSR和证书中的编码方式。 DN定义为X.501类型Name。来自RFC 5280:
Name ::= CHOICE { -- only one possibility for now --
rdnSequence RDNSequence }
RDNSequence ::= SEQUENCE OF RelativeDistinguishedName
RelativeDistinguishedName ::=
SET SIZE (1..MAX) OF AttributeTypeAndValue
AttributeTypeAndValue ::= SEQUENCE {
type AttributeType,
value AttributeValue }
AttributeType ::= OBJECT IDENTIFIER
AttributeValue ::= ANY -- DEFINED BY AttributeType
distinguishedNameMatch规则在RFC 5280 section 7.1(强调我的)中定义:
如果属性类型相同,则两个命名属性匹配 处理后,属性的值是完全匹配的 字符串准备算法。 两个相对的专有名称 如果RDN1和RDN2具有相同数量的命名属性,则它们匹配 对于RDN1中的每个命名属性,都有匹配的命名 RDN2中的属性。两个专有名称DN1和DN2匹配 具有相同数量的RDN,对于DN1中的每个RDN,存在匹配 DN2中的RDN和匹配的RDN在两者中以相同的顺序出现 DNS。专有名称DN1位于由。定义的子树内 如果DN1包含至少与DN2一样多的RDN,则为专有名称DN2, 当忽略DN1中的尾随RDN时,DN1和DN2匹配。
如果组织(O)和位置(L)属性出现在两者的主题DN中设置的相同相对可分辨名称中CSR和证书,然后在其他条件相同的情况下,DN是相等的。如果它们位于不同的RDN中,则RDN的顺序已经改变,使得DN不同。