Quelles cordes sont admis dans le “nom commun” attribut dans un X. 509 certificate?

Dans le nom commun domaine de la DN du certificat X509, tel que défini dans l'ASN.1 notation pour les OID "2.5.4.3", quelles sont les valeurs autorisées?

Je sais que la limite est jusqu'à 64 caractères, mais ils sont tous les caractères autorisés? Chiffres?

E. g. sont .s est permis? Est une adresse IP (x.x.x.x) une séquence valide par l'ASN à la définition?

Est un nom de domaine autorisé?

  • La norme permet juste au sujet de n'importe quelle chaîne dans le nom commun. La signification d'une chaîne dépend de son interprétation.
  • si c'est le cas, pourquoi est-ce un commentaire et non une réponse?
  • standard sont vous faisant référence?Parce que je suis intéressé par le type ainsi que l'a déclaré à l'ASN notation
  • Oh désolé, j'ai lu le RFC 5280. Je n'ai pas de réponse parce que je ne pense pas que c'était suffisamment détaillée pour une réponse.
InformationsquelleAutor Cratylus | 2011-02-27
  1. 52

    L'attribut de nom commun dans un Nom unique est codé comme:

    X520CommonName ::= CHOICE {
      teletexString     TeletexString   (SIZE (1..ub-common-name)),
      printableString   PrintableString (SIZE (1..ub-common-name)),
      universalString   UniversalString (SIZE (1..ub-common-name)),
      utf8String        UTF8String      (SIZE (1..ub-common-name)),
      bmpString         BMPString       (SIZE (1..ub-common-name)) }

    ub-common-name est de 64. Les trois dernières codages permettent l'utilisation de toutes les Unicode points de code (en utilisant UTF-16 pour les points de code au-delà de 0xFFFF avec bmpString); UTF-8 est un encodage de préférence (au moins les normes de le dire).

    Autant que X. 509 (voir RFC 5280), le contenu de DN éléments ne sont pas pertinents au-delà de comparaison d'égalité; ce qui signifie que vous pouvez mettre ce que la séquence de caractères que vous voulez, aussi longtemps que vous le faire de manière cohérente. RFC 5280 mandats de la casse des comparaisons pour codé en UTF-8 des éléments du nom, et ce n'est pas facile dans le contexte général de l'Unicode: voir section 7.1, qui relie le RFC Quatre mille cinq cent dix huit et Trois mille quatre cent cinquante quatre. Aussi, le "nom commun" est souvent affichées à l'utilisateur (au moins sur les systèmes à l'aide de X. 509 certificats qui ont un affichage et d'une physique de l'utilisateur), de sorte que vous voudrez probablement utiliser une chaîne de caractères qui est significatif, ou au moins pas trop effrayant pour un être humain, et vous pouvez essayer d'éviter les scripts non latins.

    Mettre un nom DNS dans le "nom commun" attribut est de pratique courante pour HTTPS, certificats de serveur: voir RFC 2818 (les certificats de serveur contient le nom du serveur auquel le client matchs contre le nom du serveur dans l'URL; normalement, le Sujet Alt extension de Nom est préférable pour cela, mais le nom commun est un peu plus largement pris en charge par les clients).

    • Très complet et bien référencé réponse.
    • Cela répond à des questions que je pose depuis un long moment et simplement n'avez pas trouvé la réponse. La référence à la RFC est particulièrement utile.
    • Quelqu'un peut-il fournir un lien vers un site web en utilisant autre chose qu'un nom DNS pour le nom commun? (le nom du site doit donc être dans le SAN)
    • J'ai vérifié tout à fait quelques-uns, le plus proche que je pouvais trouver était www-cs-01.oracle.com qui est utilisé pour www.oracle.com, de sorte que le CN n'est pas le même que le nom DNS bien que ce n'est pas ce que vous demandez. Depuis Sae généralement à la certs du portail et de ses portails historiquement utilisé dans le domaine de la CN, je pense que vous aurez du mal à trouver un site qui a quelque chose d'autre qu'un nom DNS de là. Même letsencrypt.org suit cette convenstion, et ils sont un relativement nouveau CA.
    InformationsquelleAutor Thomas Pornin
  2. 6

    Si votre problème principal est de savoir si ou non vous pouvez (ou devez) mettre une adresse IP dans le Sujet DN Nom Commun, la réponse est non.

    Ce n'est pas lié à l'X. 509 format, mais les spécifications dire comment interpréter ce qu'ils ont lu.

    Quand il s'agit de HTTPS, RFC 2818 dit ce qui suit à propos des adresses IP:

    Dans certains cas, l'URI spécifié une adresse IP plutôt qu'un
    nom d'hôte. Dans ce cas, le iPAddress subjectAltName doit être
    dans le certificat et doit correspondre exactement à la propriété intellectuelle dans l'URI.

    Cela signifie que le CN ne devrait pas être utilisée pour une adresse IP, et que le SAN type d'entrée doit par adresse IP, pas de DNS. (Certains navigateurs, de ne pas mettre entièrement en œuvre, de sorte qu'ils pourraient être plus tolérant. Le Java par défaut nom d'hôte du vérificateur seront strictes.)

    Les meilleures pratiques pour le certificat de vérification de l'identité sont également définies dans RFC 6125, mais il considère Les adresses IP hors de portée (il est intéressant de lire cette section pour les arguments contre l'utilisation des adresses IP n').
    Si vous passez par la extraits de Rfc sur d'autres protocoles, certains ont des contraintes similaires à propos des adresses IP (par exemple, LDAP).

    • DNS est valable pour SAN extensions.
    • En effet (dans un dNSName extension). Juste pour préciser, j'ai été, portant spécifiquement sur la partie de la question à propos des adresses IP (puisqu'il y avait d'autres réponses pour le reste déjà).
    InformationsquelleAutor Bruno
  3. 6

    Tandis que les réponses ci-dessus, couvrir ce que vous pourrez généralement trouver là, n'oubliez pas que parce que c'est X. 509, vous pouvez réellement mettre beaucoup de choses dedans. Le certificat ci-dessous par exemple utilise 0.9.2342.19200300.100.1.5 qui est "boisson préférée" (Voir http://www.alvestrand.no/objectid/0.9.2342.19200300.100.1.5.html). Openssl comprendre le présent, de sorte que le nom commun est affiché comme CN=example.com/[email protected]/favouriteDrink=tequila. Il existe de nombreux autres domaines qui peuvent être mis dans le certificat nom commun.

    Vous pouvez utiliser openssl x509 -texte pour vérifier que le certificat s'affiche comme je l'ai décrit.

    -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
    • Le lien vers ce site ne se charge pas due à des erreurs de certificat.
    InformationsquelleAutor Richard Moore
  4. 4

    Ce que les chaînes sont admis dans le “nom commun” attribut dans un X. 509 certificate?

    Je ne peux pas vraiment répondre à ce qui se passe là-dedans, mais je peux vous dire que ce n' pas y aller: les noms de serveur, comme les noms d'hôtes (www.example.com), des Noms Internes (comme www) et Adresses IP (comme 127.0.0.1 ou 100.100.100.100).

    De placer un nom DNS ou un nom de serveur dans le Nom Commun (CN) est dépréciée par l'IETF et le CA/Browser Forum. Bien qu'obsolète, il n'est actuellement pas interdit. Le CA/B est important parce que c'est ce que les navigateurs les navigateurs ne pas suivre l'IETF.

    L'IETF déconseillé la pratique dans la RFC 6125, à la section 2.3, tandis que le CA/B déconseillé la pratique dans la configuration de Base, l'article 9.1.1.

    Tous les noms de serveur aller dans l'autre Nom de l'Objet (SAN). Placer les noms de serveur dans le SAN est requis par le CA/B Exigences de Base, la section 9.2.1. L'IETF est plus tolérant au cours de l'émission avec le RFC 5280, mais exige en cours de validation en vertu de l'article 6.4.4 de la RFC 6125.

    • réponse impressionnante! Pouvez-vous partager un lien vers un site qui n'a pas un nom DNS dans sa CN?
    • essayez la Crypto++ site web (cryptopp.com). Le CN a été omis. Je pense que c'était un coup de chance, si. J'ai demandé une commune nom de "Crypto++", mais je pense que le logiciel qui gère l'émission filtré le nom parce que certains scripts peuvent interpréter le plus es comme des expressions régulières. Derp...
    • merci, c'est génial! merci de ping-moi encore si vous arrive de croiser un dans la nature qui a une valeur ou quoi que ce soit d'autre qu'un nom DNS.
    • Rappelez-vous aussi que le CN n'est qu'une partie ou un morceau de la Distinguished Name (DN). Il y a deux importants DN de l'. Le premier est le sujet du DN (qui le certificat a été émis), et la deuxième est l'émetteur UNIQUE (qui ne la délivrance). L'ensemble de la chaîne DN est la partie importante; et un manque de RDN comme le CN ou de l'État n'a pas trop d'importance. Il y a un RFC couvrant DN s; c'est la seule qui couvre les noms de répertoire.
    InformationsquelleAutor jww