在什么情况下,对于openssl ca,您会将'unique_subject'设置为yes?
默认情况下,在什么情况下,对于openssl ca,您会将'unique_subject'设置为yes?,openssl,ca,Openssl,Ca,默认情况下,unique\u subject设置为yes,这将阻止您对多个主题进行签名 具有相同可分辨名称的证书。尝试签署此类证书将导致 导致以下错误消息 failed to update database TXT_DB error number 2 但是,允许重复dn有一个明确的用例,即颁发证书 适用于有效期延长的依赖方。例如,证书 几个月后需要刷新的网站(类似的论点已经被提出) 制造于[1])。在不更改设置的情况下,您只能使用 如果撤消现有证书,则使用相同的dn。但你可能想把它的主人 两个
unique\u subject
设置为yes
,这将阻止您对多个主题进行签名
具有相同可分辨名称的证书。尝试签署此类证书将导致
导致以下错误消息
failed to update database
TXT_DB error number 2
但是,允许重复dn有一个明确的用例,即颁发证书
适用于有效期延长的依赖方。例如,证书
几个月后需要刷新的网站(类似的论点已经被提出)
制造于[1])。在不更改设置的情况下,您只能使用
如果撤消现有证书,则使用相同的dn。但你可能想把它的主人
两个证书都有效的宽限期。我唯一的选择
遇到的问题是更改dn中与应用程序不太相关的内容(如OU)
证书[2]
openssl文档[3]中有一个unique\u subject
条目,其中他们建议
选择默认值是为了与旧版本兼容。网页也
提到应将此值设置为no
,以使ca滚动更容易。这
告诉我no
的值是非常好的,也许应该是默认值
可以找到许多对该属性的引用,通常建议使用该值
应设置为no
(在openssl.cnf和index.txt.attr文件中)[1,2,3,4,5]
更多]。我只找到一个地方,有人建议把它留在是的
,或者至少是这样
不太关心它的实际价值[5]。但是,在这条线索中,只是一个空白的陈述
被给予:
For the use case of a VPN, as EasyRSA was originally intended, the current setting is
best.
是吗?为什么?
我了解该选项的作用以及如何使用它。我找不到的是一个合理的解释
早期默认值为是
openssl ca是否试图使用此默认值解决一些安全问题?使用相同dn颁发两个证书有什么风险?
设置
unique\u subject=no
时是否应遵循一些做法?是否有正当理由将该值保留为默认设置 简言之,是否存在支持使用 相同的dn [1]
[2] (在上回答)
[3]
[4]
[5]