subject 欄 (証明書)

[3] subject 欄は、subject public key 欄に蓄積された公開鍵に関連付けられた実体を識別するものです >>1。

仕様書

[1] RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile (2015-02-22 15:44:10 +09:00 版) http://tools.ietf.org/html/rfc5280#section-4.1.2.6
[10] RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile (2015-02-22 15:44:10 +09:00 版) http://tools.ietf.org/html/rfc5280#section-4.2.1.6

構文

[9] subject 欄の値は、 X.501 Name です >>1。

subject name

[2] subject name は、 subject 欄と subjectAltName 拡張の一方または両方に指定できます >>1。インターネット電子メールアドレス、DNS名、IPアドレス、URI を subject とする時は、 SAN も使わなければなりません >>10。

[4] subject が CA の場合 (例えば basic constraints extension があり、 cA の値が TRUE の場合) には、 subject 欄は subject CA が発行したすべての証明書の issuer 欄の内容と一致するような非空の distinguished name を含んでいなければなりません >>1。

[5] subject が CRL発行者の場合 (例えば key usage extension があり、 cRLSign が TRUE の場合) には、 subject 欄は subject CRL発行者が発行したすべての CRL の issuer 欄の内容と一致するような非空の distinguished name を含んでいなければなりません >>1。

[6] subject の naming information が subjectAltName 拡張にのみ示される場合 (例えば電子メールアドレスや URI にのみ束縛された鍵の場合) には、 subject name は空の列とし、 subjectAltName 拡張を critical としなければなりません >>1。

[7] subject が空でない場合には、 X.500 distinguished name (DN) を含まなければなりません。 >>1

[8] DN は、 issuer 欄に示された CA が certify した subject 実体にわたって固有でなければなりません。 CA は、同じ DN の証明書を同じ subject 実体に複数発行して構いません。 >>1

SAN

[16] SAN も参照。

文脈

[20] CApath の証明書のファイルの選択では、証明書の subject のハッシュ値がファイル名として使われます。 CApath

メモ

[11] RFC 6125 - Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS) (2015-03-13 22:27:53 +09:00 版) https://tools.ietf.org/html/rfc6125#section-1.8

subject name: In an overall sense, a subject's name(s) can be
represented by or in the subject field, the subjectAltName
extension, or both (see [PKIX] for details). More specifically,
the term often refers to the name of a PKIX certificate's subject,
encoded as the X.501 type Name and conveyed in a certificate's
subject field (see Section 4.1.2.6 of [PKIX]).

[12] (2014-11-01 05:54:38 +09:00 版) https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=12

Subject: The natural person, device, system, unit, or Legal Entity identified in a Certificate as the Subject. The
Subject is either the Subscriber or a device under the control and operation of the Subscriber.

[13] (2014-11-01 05:54:38 +09:00 版) https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=12

Subject Identity Information: Information that identifies the Certificate Subject. Subject Identity Information
does not include a domain name listed in the subjectAltName extension or the Subject commonName field.

[14] BR は SAN を指定することを要求しています。

[15] オレオレ証明書などで BR に従わない証明書は、 SAN を含まず CN-ID のみでドメイン名を記述していることが今でもあります。

[17] Self signed certificates and a "This certificate has an invalid digital signature" error | SAMUSU (2018-03-06 00:37:24 +09:00) http://plobbes.blogspot.com/2016/02/self-signed-certificates-and-this.html

Having unique DN's is desirable, but interestingly enough, in this case it's really fatal. The browser simply doesn't let you bypass this scenario. I failed to find this being documented by MS, but it's highly likely I missed something somewhere.
Looking at RFC's, perhaps this was considered justification? RFC5280 Section 4.1.2.6
Where it is non-empty, the subject field MUST contain an X.500 distinguished name (DN). The DN MUST be unique for each subject entity certified by the one CA as defined by the issuer field. ...

[18] Windows は自己署名証明書の subject と issuer が一致しているとエラーにします。

[19] 一方 OpenSSL は両者が一致していないとエラーにします。

subject information

仕様書

構文

subject name

SAN

文脈

メモ