是否存在必须指定主题属性-C,ST,L,O,OU,CN的特定顺序。 openssl似乎没有强制执行订单。
在生成专有名称时,我们会选择证书中配置的所有主题属性吗?属性的排序是否重要?
答案 0 :(得分:2)
是否存在必须指定主题属性-C,ST,L,O,OU,CN的特定顺序。
据我所知,没有指定订单。将使用您指定的订单,并按此顺序生成DN,即PKCS#10请求。
在生成专有名称时,我们是否选择了证书中配置的所有主题属性?
CA可能(并且很可能会)在颁发证书时使用您的PKCS#10请求中的DN,但它可以决定不同的订单。在发出SSL服务器证书时,可以将某些RDN(相对专有名称)移动到扩展名,即emailAddress或复制到CN到SubjectAlternativeName等扩展名。
属性的排序是否重要?
订购不恕我的事。对于某些正在使用证书的应用程序而言可能很重要,但一般来说排序并不重要。
答案 1 :(得分:1)
从理论上讲,这并不重要,但实际上,如果父证书主题中的令牌顺序与子证书中颁发者字段中的令牌顺序不同,则某些加密库将无法构建链。如果您不想遇到任何奇怪的问题,它们应该完全相同。
例如,如果主题/发布者字段中标记的顺序不同,则即使Windows 10工具(mmc)也无法正确显示链。