x509 - x.509客户端证书文件有多少种格式？

Question

我正在执行一项任务，即当用户向服务器发送请求时获取客户端证书。我必须获取证书并从证书中获取 3 条信息:用户名、用户的电子邮件地址和用户的公司名称。

乍一看，似乎很简单，只需获取“主题 CN”作为用户名，“主题 E”作为电子邮件地址，“主题 OU”作为公司名称。

但后来我意识到有很多不同的 CA 和工具，它们以不同的格式颁发证书。例如，某些证书在“主题”字段中根本没有电子邮件地址字段，而是将其存储在SubjectAlternativeName扩展中，用户名存储在“主题O”中，其他一些证书在“主题CN”字段中具有电子邮件地址以及公司的网址。

我想知道是否有什么方法可以明确找到用户的姓名、公司名称和电子邮件地址？如果没有，证书格式是否有任何标准，以便这些信息存储在多个位置，或者只是在证书的哪个字段中创建？

最后一个问题是:如果一个网站支持来自“所有”CA 的客户端证书，那么我们谈论的是多少个 CA？这种情况是否常见，或者大多数网站只支持其选择的 1-2 个 CA？

非常感谢您的回复，我脑子里有太多问题。

Answer 1

主体识别名(Subject DN)是相对识别名(RDN)的有序序列，每个 RDN 是一组无序的属性值断言(AVA)。 AVA 类似于“CN=yourname”或“O=yourorganization”(尽管它们不像证书中那样存储)。

大多数时候，每个 RDN 只会有一个 AVA，因此，除非是奇怪的情况，否则通常可以将其称为主题 DN 的 CN RDN(或者我猜甚至是一个“字段”，如果您不需要太具体)。将主题 DN 序列化为可读字符串有多种标准，特别是从左到右或从右到左，或 E= 与emailAddress=，或逗号或斜杠分隔符。您应该首先确保您的工具能够从 OID(对象标识符)而不是字符串表示形式中读取它们。

通常，序列是国家、组织、组织单位、通用名，也许还有电子邮件(尽管电子邮件地址总是有问题的，因为它是那些并不总是以相同方式序列化为字符串的地址之一)取决于所使用的标准)。

一般来说，CA 可以在主题 DN 的结构以及是否使用主题备用名称扩展方面自由地执行他们想要的操作。这些事情往往由每个 CA 政策(可能是相当长的技术和法律文件)监管。在这个领域中没有一种方法适合所有情况。

在接受客户证书之前，您应该确保您同意他们的政策。一旦信任了某个CA证书，PKI模型就很难再进行细粒度的选择。

可信 CA 列表取决于平台和配置。默认情况下，OSX 上的 Java 在其信任库中大约有 150 个 CA 证书，我认为在其他平台上大约有 70 个。这些数字可能相差很大。

无论如何，如果您确实想接受客户端证书，您或多或少需要知道它们来自哪里，因此通常您会拥有一小部分您愿意信任的 CA。我绝对建议您在仔细的手动选择(基于策略文档)之后配置您愿意信任哪些 CA 来进行客户端证书身份验证。

实际上，我不确定为什么客户端会像这样随机地将证书发送到任何服务器。客户端证书的 PKI 往往在封闭的管理域或完善的联盟中工作得更好，在这种情况下，您和您的用户将属于这些组织，并且您将知道需要哪个 CA。此外，我建议限制使用客户端证书来验证用户身份，同时从其他地方(例如 LDAP 服务器)获取更多属性。通常，客户证书将向个人发出一年或更长时间，而有关个人(甚至组织单位)的信息在实践中可能会发生变化。如果您想使用 CA 或建立自己的 CA，则必须考虑所有这些。