Security X.509 DN的所有部分都是可选的吗？

X.509中DN的所有部分都是可选的吗？
从RFC3280：

本规范的实施必须准备好接收 颁发者和主题中的以下标准属性类型 （第4.1.2.6节）名称：

我找不到这些是否是强制性的。
我这样问是因为我看到一个证书是由可信CA签署的，但在颁发者的字段中，

CN

丢失了（还有

C

，但我认为这并不重要）。
我原以为

CN

是强制性的。是吗？

---

发行人字段中省略

CN

是否有任何安全影响？

RFC表示，主题名称可能出现在主题备选名称扩展中。第4.2.1.7节说明了以下内容（必须是您的情况）：

此外，如果证书中包含的唯一主体身份是 备选姓名表（如电子邮件地址），然后 主题可分辨名称必须为空（空序列），并且 subjectAltName扩展名必须存在。如果主题字段 包含空序列，subjectAltName扩展名必须为 以批评为特点

---

正如@Bruno所说，RFC3280中没有要求发行人DN拥有CN。 RFC3280指出：

颁发者字段必须包含非空的可分辨名称（DN）

但是，RFC3280没有对应存在哪些RDN作出任何要求。大多数CA确实在颁发者DN中包含CN，但有些CA不包含CN，例如此Equifax CA

OU=Equifax安全证书颁发机构，O=Equifax，C=US

或者这个Verisign CA

OU=VeriSign Trust Network，OU=“（c）1998 VeriSign，Inc.-用于 仅授权使用”，OU=3级公共初级认证 授权-G2，O=“VeriSign，Inc.，C=US

---

使用RFC3280的路径构建和验证不需要颁发者DN中的CN。

X509证书应比较整个DN。就是

Dn1 == Dn2

两个可分辨名称DN1和DN2匹配，如果 具有相同数量的RDN，对于DN1中的每个RDN，都有一个匹配的 DN2中的RDN，并且匹配的RDN在这两个中以相同的顺序出现 DNs

每个组件都是可选的，可以重复。但是，匹配要求所有字段都匹配

---

从

开始，证书中不存在受试者备选名称扩展名，也不存在标记为关键的扩展名。唯一存在的DN位于

颁发者

字段中，该字段具有

OU

（3个不同的

OU

值对）并且一个

O

.Firefox警告

所有者：该网站不提供所有权信息。那么这个警告是否意味着这里的
CN
确实存在问题？安全含义是什么？@user384706由于证书不能证明所有权和真实性，因此无法用于正确验证web服务器。安全含义是，如果此类证书被盗，则可以将其安装到任何网站。因此，此类证书不能被信任。对于网站，证书中必须包含web主机名或IP地址。这是由RFC2818（）在3.1中定义的。我可能在这里失去了你。证书在证书的
主题
字段中包含网站的域名。
Subject
字段有一个
CN
，它是站点的域名（与我在URL栏中看到的相同）。
Issuer
字段没有
CN
（我假设这就是firefox中警告的含义）。这是否改变了你最后的评论？还是我理解错了你的答案？@user384706，不要过分强调
所有者：这个网站不提供所有权信息
，网站上充斥着C、O和其他一些（但我认为不是OU）EV证书。Firefox用户界面在这方面可能相当混乱。偶数
https://www.google.com/
有这个功能。与主题不同，但这并不意味着它需要CN RDN。@user384706:不完全是，它只是一种命名约定。在一天结束的时候，要么你信任CA，要么你不信任。然而，这是一个管理问题。如果它有一个对你有意义的名字当然更好，但它是否使用CN并不重要。不过我觉得这很奇怪。我希望对于一个非常严格的处理，甚至可以基于发卡机构的
CN
施加限制，也没有什么可以阻止某人开发应用程序或创建证书策略，从而对特定PKI社区的发卡机构DN施加限制。然而，对于在互联网上使用的一般证书，我们希望使用RFC3280，这不要求在颁发者DN中存在CN。
Dn1 == Dn2