Где-то в сети попадался комментарий, что использование emailAddress в теме сертификата - это, якобы, устаревший способ указания емейла и в настоящее время правильно использовать SAN (расширение X.509), а именно - в поле subjectAltName.
Как на самом деле?
X.509: emailAddress или subjectAltName?
Модератор: Bizdelnick
- serzh-z
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
- Контактная информация:
Re: X.509: emailAddress или subjectAltName?
Сам же и отвечу.
RFC 5280 говорит, что emailAddress допустимо использовать в DN, для совместимости с устаревшими реализациями X.509, но так же емейл нужно (MUST) поместить в subjectAltName.
Для себя решил, что самый простой и правильный способ сделать самоподписанный сертификат с емейлом - это указать emailAddress в DN (CN=My Name/emailAddress=me@example.com) и раскомментировать в openssl.cnf опцию subjectAltName=email:copy (v3_ca). А заодно и issuerAltName=issuer:copy:
RFC 5280 говорит, что emailAddress допустимо использовать в DN, для совместимости с устаревшими реализациями X.509, но так же емейл нужно (MUST) поместить в subjectAltName.
Для себя решил, что самый простой и правильный способ сделать самоподписанный сертификат с емейлом - это указать emailAddress в DN (CN=My Name/emailAddress=me@example.com) и раскомментировать в openssl.cnf опцию subjectAltName=email:copy (v3_ca). А заодно и issuerAltName=issuer:copy:
Shell
openssl req \
-config <(sed -r '/\[ v3_ca \]/,/^\[/ s/# (issuerAltName=|subjectAltName=)/\1/' /etc/ssl/openssl.cnf) \
-new -newkey rsa -nodes -subj '/CN=My Name/emailAddress=me@example.com/' -x509
Спасибо сказали: