Il nome del soggetto distinto di un certificato SSL emesso corrisponde a quello della richiesta di firma del certificato generata?

3

Ad esempio:

dal certificato SSL rilasciato:
CN = abc.com.my, OU = Room, O = House, C = MY

dal CSR generato:
CN = abc.com.my, OU = Room, O = House, L = KL, ST = KL, C = MY

È legale per una CA pubblica modificare il nome distinto durante l'emissione del certificato SSL oppure il nome distinto deve corrispondere esattamente a quello che ho fornito nel CSR?

O solo alcuni campi obbligatori devono corrispondere in entrambi, come il nome completo del dominio (FQDN)?

    
posta epiziv 08.09.2014 - 12:14
fonte

1 risposta

2

È legale e possibile che la CA prenda un CSR e modifichi il DN che trova lì prima di emettere il certificato.

Ad esempio, con i StartSSL certificati gratuiti che ignorano il DN fornito e il problema si basa esclusivamente sulla chiave pubblica, il nome di dominio richiesto ( CN), il paese (C) e l'e-mail del richiedente (E). E in base all'interfaccia utente, tutto tranne la chiave pubblica proviene dal processo di richiesta interattiva, non dal CSR stesso:

    
risposta data 08.09.2014 - 15:48
fonte