È una decisione arbitraria e amministrativa per il creatore di CA quali certificati client si desidera abilitare per essere firmati dalla CA.
policy_match
nella seguente riga di configurazione:
policy = policy_match
è un nome scelto che corrisponde a una particolare sezione nel file di configurazione. Quella sezione definisce in dettaglio ciascuno dei
[ policy_match ]
countryName = match
stateOrProvinceName = match
localityName = supplied
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
Ciascuno dei campi DN per il certificato client può essere assegnato per avere lo stesso valore della CA ( match
), essere richiesto per essere specificato ( supplied
), o essere facoltativo ( optional
).
La stessa guida suggerisce un'altra politica che corrisponde ai tuoi criteri di " il client potrebbe essere un'entità arbitraria che non ha nulla in comune con la CA ":
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
Tuttavia, se volessi creare una CA per la tua organizzazione, ciò consentirebbe di emettere solo certificati per quella parte della tua organizzazione che puoi liberamente impostare ad esempio:
policy = policy_branch_1
[ policy_branch_1 ]
countryName = match
stateOrProvinceName = match
localityName = match
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = supplied
Quale avrebbe richiesto che i certificati emessi avessero i primi tre campi DN corrispondenti al certificato della CA.