subject

subject 欄 (証明書)

[3] subject は、subject public key 蓄積された公開鍵に関連付けられた実体を識別するものです >>1

仕様書

構文

[9] subject の値は、 X.501 Name です >>1

subject name

[2] subject name は、 subject subjectAltName 拡張の一方または両方に指定できます >>1インターネット電子メールアドレスDNS名IPアドレスURIsubject とする時は、 SAN も使わなければなりません >>10

[4] subjectCA の場合 (例えば basic constraints extension があり、 cA の値が TRUE の場合) には、 subject subject CA が発行したすべての証明書issuer の内容と一致するような非distinguished name を含んでいなければなりません >>1

[5] subjectCRL発行者の場合 (例えば key usage extension があり、 cRLSignTRUE の場合) には、 subject subject CRL発行者が発行したすべての CRLissuer の内容と一致するような非distinguished name を含んでいなければなりません >>1

[6] subject の naming information が subjectAltName 拡張にのみ示される場合 (例えば電子メールアドレスURI にのみ束縛されたの場合) には、 subject nameとし、 subjectAltName 拡張を critical としなければなりません >>1

[7] subjectでない場合には、 X.500 distinguished name (DN) を含まなければなりません>>1

[8] DN は、 issuer に示された CAcertify した subject 実体にわたって固有でなければなりませんCA は、同じ DN証明書を同じ subject 実体に複数発行して構いません。 >>1

SAN

[16] SAN も参照。

文脈

[20] CApath証明書ファイルの選択では、 証明書subjectハッシュ値ファイル名として使われます。 CApath

メモ

[11] RFC 6125 - Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS) ( 版) https://tools.ietf.org/html/rfc6125#section-1.8

subject name: In an overall sense, a subject's name(s) can be

represented by or in the subject field, the subjectAltName

extension, or both (see [PKIX] for details). More specifically,

the term often refers to the name of a PKIX certificate's subject,

encoded as the X.501 type Name and conveyed in a certificate's

subject field (see Section 4.1.2.6 of [PKIX]).

[12] ( 版) https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=12

Subject: The natural person, device, system, unit, or Legal Entity identified in a Certificate as the Subject. The

Subject is either the Subscriber or a device under the control and operation of the Subscriber.

[13] ( 版) https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=12

Subject Identity Information: Information that identifies the Certificate Subject. Subject Identity Information

does not include a domain name listed in the subjectAltName extension or the Subject commonName field.

[14] BRSAN を指定することを要求しています。

[15] オレオレ証明書などで BR に従わない証明書は、 SAN を含まず CN-ID のみでドメイン名を記述していることが今でもあります。

[17] Self signed certificates and a "This certificate has an invalid digital signature" error | SAMUSU () http://plobbes.blogspot.com/2016/02/self-signed-certificates-and-this.html

Having unique DN's is desirable, but interestingly enough, in this case it's really fatal. The browser simply doesn't let you bypass this scenario. I failed to find this being documented by MS, but it's highly likely I missed something somewhere.

Looking at RFC's, perhaps this was considered justification? RFC5280 Section 4.1.2.6

Where it is non-empty, the subject field MUST contain an X.500 distinguished name (DN). The DN MUST be unique for each subject entity certified by the one CA as defined by the issuer field. ...

[18] Windows自己署名証明書subjectissuer が一致しているとエラーにします。

[19] 一方 OpenSSL は両者が一致していないとエラーにします。