[3] subject
欄は、subject public key 欄に蓄積された公開鍵に関連付けられた実体を識別するものです >>1。
[9] subject
欄の値は、 X.501 Name です >>1。
[2] subject name は、 subject 欄と subjectAltName
拡張の一方または両方に指定できます >>1。
インターネット電子メールアドレス、DNS名、IPアドレス、URI
を subject とする時は、 SAN も使わなければなりません >>10。
[4] subject が CA の場合 (例えば basic constraints extension があり、
cA
の値が TRUE の場合) には、 subject 欄は
subject CA が発行したすべての証明書の issuer
欄の内容と一致するような非空の distinguished name
を含んでいなければなりません >>1。
[5] subject が CRL発行者の場合 (例えば key usage extension
があり、 cRLSign
が TRUE の場合) には、 subject 欄は
subject CRL発行者が発行したすべての CRL の issuer
欄の内容と一致するような非空の distinguished name
を含んでいなければなりません >>1。
[6] subject の naming information が subjectAltName
拡張にのみ示される場合
(例えば電子メールアドレスや URI にのみ束縛された鍵の場合) には、
subject name は空の列とし、 subjectAltName
拡張を critical としなければなりません >>1。
[7] subject
が空でない場合には、 X.500
distinguished name (DN) を含まなければなりません。 >>1
[8] DN は、 issuer
欄に示された CA が certify
した subject 実体にわたって固有でなければなりません。
CA は、同じ DN の証明書を同じ subject 実体に複数発行して構いません。 >>1
[20]
CApath の証明書のファイルの選択では、
証明書の subject
のハッシュ値がファイル名として使われます。
subject name: In an overall sense, a subject's name(s) can be
represented by or in the subject field, the subjectAltName
extension, or both (see [PKIX] for details). More specifically,
the term often refers to the name of a PKIX certificate's subject,
encoded as the X.501 type Name and conveyed in a certificate's
subject field (see Section 4.1.2.6 of [PKIX]).
Subject: The natural person, device, system, unit, or Legal Entity identified in a Certificate as the Subject. The
Subject is either the Subscriber or a device under the control and operation of the Subscriber.
Subject Identity Information: Information that identifies the Certificate Subject. Subject Identity Information
does not include a domain name listed in the subjectAltName extension or the Subject commonName field.
[14] BR は SAN を指定することを要求しています。
[15] オレオレ証明書などで BR に従わない証明書は、 SAN を含まず CN-ID のみでドメイン名を記述していることが今でもあります。
Having unique DN's is desirable, but interestingly enough, in this case it's really fatal. The browser simply doesn't let you bypass this scenario. I failed to find this being documented by MS, but it's highly likely I missed something somewhere.
Looking at RFC's, perhaps this was considered justification? RFC5280 Section 4.1.2.6
Where it is non-empty, the subject field MUST contain an X.500 distinguished name (DN). The DN MUST be unique for each subject entity certified by the one CA as defined by the issuer field. ...