/
943.txt
39 lines (29 loc) · 2.49 KB
/
943.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
[3] [DFN[[[Common Name]]]] ([DFN[[CODE[[[CN]]]]]]) は、 [[DN]] の[[属性型]]の1つです。
* 仕様書
[REFS[
- [1] [CITE@en[RFC 6125 - Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS)]] ([TIME[2015-03-13 22:27:53 +09:00]] 版) <https://tools.ietf.org/html/rfc6125#section-1.8>
- [4] [CITE@en[RFC 6125 - Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS)]] ([TIME[2015-03-13 22:27:53 +09:00]] 版) <https://tools.ietf.org/html/rfc6125#section-2.3>
]REFS]
* CN-ID
[2] [DFN[[[CN-ID]]]] は、[[証明書]]の [CODE[[[subject]]]] [[欄]]の [[RDN]]
であって、型が [CODE[[[CN]]]] の [[attribute-type-and-value pair]]
を丁度1つだけ含んでいて、その値が[[ドメイン名]]全体であるものです [SRC[>>1]]。
;; [8] 複数含まれる場合、どれを選択するべきかについて混乱があるため ([[RDN]] 参照)、
除外されています [SRC[>>4]]。
;; [9] しかし実際には [[CN-ID]] が複数含まれる[[証明書]]が使われているようです。
[[service identity]] を参照。
[5] [[証明書]]の [[subject]] である [[application service]] は、
[CODE[[[subject]]]] [[欄]]により ([[CN-ID]] として) 記述することもできますし、
[[SAN]] により ([[DNS-ID]]、[[SRV-ID]]、[[URI-ID]] として) 記述することもできますし、
その両方を使うこともできます。従来[[証明書]]は [[CN-ID]] によって
[CODE[[[CN]]]] に [[FQDN]] を記述する形を取ってきました。しかし [CODE[[[CN]]]]
は[[ドメイン名]]だけでなく、[[人間可読]]な文字列を記述したり、
[[ドメイン名]]の [CODE[[[CN]]]] と[[人間可読]]な [CODE[[[CN]]]]
の両方を含めたりすることもできます。 [SRC[>>4]]
[EG[
[6] 例えば、 [CODE[CN=A Free Chat Service,CN=im.example.org,O=Example Org,C=GB]] [SRC[>>4]]
のような [[RDN]] もあり得ます。
]EG]
[7] 従ってできるだけ [[CN-ID]] よりも [[SAN]] を使うべきです。しかし[[後方互換性]]その他の理由で
[[CN-ID]] への対応を継続したい仕様は、そうしても構いません。 [SRC[>>4]]
;; [10] 要件と処理方法については [[service identity]] も参照。