默认情况下
unique_subjectyesfailed to update database
TXT_DB error number 2
然而,有一个明确的用例允许重复的 dn,即颁发证书 对于具有延长到期日的依赖方。例如一个证书 几个月后需要刷新的网站(类似的论点已经 在[1]中制作)。在不更改设置的情况下,您只能使用以下内容颁发新证书 如果您撤销现有证书,则使用相同的 dn。但您可能想给所有者 网站 两个证书均有效的宽限期。我唯一的其他选择 遇到的问题是更改 dn(例如 OU)中与实际不太相关的内容 证书[2]。
openssl 文档 [3] 有一个
unique_subjectnono可以找到此属性的许多参考资料,并且通常建议使用此值 应设置为
noyesFor the use case of a VPN, as EasyRSA was originally intended, the current setting is
best.
是吗?为什么?
我了解该选项的作用以及如何使用它。我找不到的是一个合理的 早期默认值
yesopenssl ca 是否尝试使用此默认值解决一些安全问题?
颁发两个具有相同 dn 的证书有什么风险?
设置时有哪些需要遵循的做法吗
unique_subject=no简而言之,是否存在支持防止使用多个有效证书的论点? 相同的 dn?
[1] https://github.com/OpenVPN/easy-rsa/issues/40#issuecomment-56191531
[2] https://serverfault.com/a/810608(在 https://serverfault.com/questions/810557/how-do-i-issue-multiple-certificates-for-the-same 上回答) -通用名称)
[3] https://www.openssl.org/docs/man1.1.1/man1/openssl-ca.html
[4] 如何向证书颁发机构签署证书签名请求?
[5] https://github.com/OpenVPN/easy-rsa/issues/40#issuecomment-150035723
我认为您已经在 OpenSSL 手册页 [3] 中得到了答案:
默认值为 yes,以兼容旧版本(0.9.8 之前) OpenSSL 的版本。但是,为了使 CA 证书更容易更新, 建议使用值 no,特别是与 -selfsign 命令行选项。
还建议将其设置为默认“是”,甚至完全删除它(使其始终为“是”)。目前计划在“Post 3.0.0”中进行:https://github.com/openssl/openssl/issues/5451
提议删除它的 Richard Levitte 与 2004 年引入它的人是同一个人:https://www.openssl.org/news/cl111.txt(0.9.7c 和 0.9.7d 之间的更改 [3 月 17 日] 2004])
由于 OpenSSL 也建议将
unique_subject