X.509 DNのすべての部分はオプションですか？

Question

X.509のDNのすべての部分はオプションですか？ RFC3280から
：この仕様の

実装は、発行者とサブジェクト で 次の標準属性タイプを受け取るために準備しなければなりません（セクション4.1.2.6）名：

* country, 
    * organization, 
    * organizational-unit, 
    * distinguished name qualifier, 
    * state or province name, 
    * common name (e.g., "Susan Housley"), and 
    * serial number. 

私ができますいずれかが必須かどうかを見つけることはできません。
信頼できるCAによって署名された証明書が表示されていますが、発行者のフィールドにはCNがありません（そして、Cが重要とは思われません）。
私は、CNが必須であると予想していました。それは...ですか？
発行者のフィールドからCNを省略した場合のセキュリティ上の意味はありますか？

Answer 1

@Brunoによると、発行者DNがCNを持つためのRFC3280の要件はありません。 RFC3280の状態：

発行者フィールドには、空でない識別名（DN）が含まれていなければなりません。

ただし、RFC3280では、どのRDNが存在する必要があるかについての要件はありません。ほとんどのCAは発行者DNにCNを含めますが、このEquifax CAなどのCNは含めません。

OU =エクイファックスセキュア認証機関、O =エクイファックス、C = US

またはこのベリサインCA.

OU =ベリサイン・トラスト・ネットワーク、OU = "（C）1998ベリサイン株式会社 - 許可された使用の場合のみ"、OU =クラス3パブリック・プライマリー認証 局 - G2、O =「ベリサイン株式会社"、C = US

RFC3280を使用したパス構築と検証では、発行者DNにCNは必要ありません。

Answer 2

RFCには、件名の名前が件名の代替名の拡張子に存在する可能性があることが記載されています。

さらに、場合のみ対象のアイデンティティが証明書に含まれる代替名形式（例えば、電子メールアドレス）、 です：セクション4.2.1.7は、以下の（でなければならないあなたの場合は）言います 件名の識別名は空である必要があります。（空のシーケンス）、 のsubjectAltName拡張子が存在する必要があります。サブジェクトフィールド に空のシーケンスが含まれている場合、subjectAltName拡張子は である必要があります。

Answer 3

X509証明書は、dn全体を比較する必要があります。それは

Dn1 == Dn2 

二つの識別名DN1とDN2の試合、彼らはRDNの数が同じ 場合、DN1の各RDNのためDN2で一致 RDNがある、とのマッチングのRDNが同じに表示されています DNの両方で注文してください。

各成分は任意であり、それらは繰り返すことができる。しかし、一致するすべてのフィールドが一致する必要があります。 ietf rfc5280