certificate - sistema - Certificado de sujeto X.509
servidor pki (1)
De acuerdo con la X.509, un certificado tiene un sujeto de atributo.
C=US, ST=Maryland, L=Pasadena, O=Brent Baccala, OU=FreeSoft, CN=www.freesoft.org/[email protected]
Este es el valor del tema típico. La pregunta es: ¿cuáles son los tipos (o etiquetas) de esos atributos (C, ST, L, O, OU, CN) y cuál es su formato?
IETF PKIX (última versión RFC 5280 ) es un perfil bien aceptado para certificados. Desde la sección 4.1.2.4, se deben admitir los siguientes campos (he agregado entre paréntesis el nombre abreviado largo y opcional de OpenSSL):
- país (nombre del país, C),
- organización (organizationName, O),
- unidad organizativa (organizationalUnitName, OU),
- calificador de nombre distinguido (dnQualifier),
- nombre de estado o provincia (stateOrProvinceName, ST),
- nombre común (commonName, CN) y
- número de serie (serialNumber).
También hay una lista de elementos que deberían ser compatibles:
- localidad (localidad, L),
- título (título),
- apellido (apellido, SN),
- nombre de pila (givenName, GN),
- iniciales (iniciales),
- pseudónimo (seudónimo) y
- calificador de generación (generationQualifier).
Los valores deben codificarse en UTF8String o PrintableString (algunos de ellos solo en PrintableString y algunas excepciones en IA5String). El estándar también tiene una longitud máxima para todos los tipos de campo (Apéndice A.1)
Por razones de compatibilidad, las implementaciones también deben admitir componentes de dominio (domainComponent, DC) codificados en IA5String. Se llama la atención sobre el correo electrónico (emailAddress) y su codificación (IA5String, pero se considera obsoleto en los DN (debe estar en la extensión del nombre alternativo del sujeto).