在什么情况下，对于openssl ca，您会将'unique_subject'设置为yes？

默认情况下，

unique\u subject

设置为

yes

，这将阻止您对多个主题进行签名 具有相同可分辨名称的证书。尝试签署此类证书将导致 导致以下错误消息

failed to update database
TXT_DB error number 2

但是，允许重复dn有一个明确的用例，即颁发证书 适用于有效期延长的依赖方。例如，证书 几个月后需要刷新的网站（类似的论点已经被提出） 制造于[1]）。在不更改设置的情况下，您只能使用 如果撤消现有证书，则使用相同的dn。但你可能想把它的主人 两个证书都有效的宽限期。我唯一的选择 遇到的问题是更改dn中与应用程序不太相关的内容（如OU） 证书[2]

openssl文档[3]中有一个

unique\u subject

条目，其中他们建议 选择默认值是为了与旧版本兼容。网页也 提到应将此值设置为

no

，以使ca滚动更容易。这 告诉我

no

的值是非常好的，也许应该是默认值

可以找到许多对该属性的引用，通常建议使用该值 应设置为

no

（在openssl.cnf和index.txt.attr文件中）[1,2,3,4,5] 更多]。我只找到一个地方，有人建议把它留在

是的

，或者至少是这样 不太关心它的实际价值[5]。但是，在这条线索中，只是一个空白的陈述 被给予：

For the use case of a VPN, as EasyRSA was originally intended, the current setting is
best.

是吗？为什么?

我了解该选项的作用以及如何使用它。我找不到的是一个合理的解释 早期默认值为

是

openssl ca是否试图使用此默认值解决一些安全问题？
使用相同dn颁发两个证书有什么风险？
设置

unique\u subject=no

时是否应遵循一些做法？
是否有正当理由将该值保留为默认设置

简言之，是否存在支持使用 相同的dn

[1]
[2] （在上回答）
[3]
[4]
[5]