Erlaubte Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate

Autor Uwe GradeneggerVeröffentlicht am Kategorien Zertifikat-BenutzungSchlagwörter , , , , , ,

Grundsätzlich erlaubt das RFC 5280 die Verwendung beliebiger Zeichenketten im Subject Distinguished Name (DN) eines Zertifikats. Gängige Felder sind im Standard X.520 beschrieben. Die Längenbeschränkungen werden ebenfalls von der ITU-T empfohlen. Die heute gängigen Abkürzungen entstammen überwiegend dem RFC 4519.

Die Microsoft Active Directory Certificate Services erlauben in der Standardeinstellung jedoch nur bestimmte RDNs.

Folgende Relative Distinguished Names (RDNs) werden in der Standardeinstellung von der Active Directory Certificate Services (ADCS) Zertifizierungsstelle angenommen:

RDNBeschreibung
emailAddress (E, EMAIL)
maximal 128 Zeichen		Die E-Mail Adresse des Zertifikatinhabers im Format name@domain.tld. Bei E-Mail Signatur- und Verschlüsselungs-Zertifikaten wird die Identität aus diesem Feld gebildet.
commonName (CN)
maximal 64 Zeichen		Der gemeinsame Name. Hiermit kann die Identität des Zertifikatinhabers abgebildet werden.
Beispielsweise bei Webserver-Zertifikaten sollte dies jedoch nach RFC 2818 unterbleiben und anstattdessen auf den Subject Alternative Name (SAN) zurückgegriffen werden sollte. Freitext.
organizationName (O)
maximal 64 Zeichen		Der Name der Organisation des Zertifikatinhabers. Freitext.
organizationalUnit (OU)
maximal 64 Zeichen		Die organisatorische Einheit (beispielsweise die Fachabteilung) des Zertifikatinhabers.Freitext.
localityName (L)
maximal 128 Zeichen		Die Lokalität (beispielsweise die Stadt) des Zertifikatinhabers. Freitext.
stateOrProvinceName (ST, S)
maximal 128 Zeichen		Der Bundesstaat (z.B. Hessen) des Zertifikatinhabers. Freitext.
countryName (C)
maximal 2 Zeichen		Ein zweistelliger Ländercode nach ISO 3166
domainComponent (DC)
maximal 128 Zeichen
unstructuredName
maximal 1024 Zeichen		(in der Standardeinstellung nicht aktiviert)
unstructuredAddress
maximal 1024 Zeichen		(in der Standardeinstellung nicht aktiviert)
deviceSerialNumber
maximal 1024 Zeichen		(in der Standardeinstellung nicht aktiviert)
title
maximal 64 Zeichen		(in der Standardeinstellung nicht aktiviert)
givenName
maximal 16 Zeichen		(in der Standardeinstellung nicht aktiviert)
initials
maximal 5 Zeichen		(in der Standardeinstellung nicht aktiviert)
surname
maximal 40 Zeichen		(in der Standardeinstellung nicht aktiviert)
streetAddress
maximal 40 Zeichen		(in der Standardeinstellung nicht aktiviert)

Die Begrenzung der Zeichenlängen orientiert sich an den Empfehlungen der ITU-T. Sie kann deaktiviert werden. Siehe hierzu Artikel "Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)"". Darüber hinaus besteht eine Limitierung des gesamten Subject Distinguished Name (DN) auf 4096 Zeichen und 4096 Byte für die ASN1-kodierte Variante des Subject Distinguished Name (DN)s. Das Größenlimit für alle Zertifikaterweiterungen (u.A. Subject Alternative Name beträgt ebenfalls 4096 Byte.

Die Einstellung kann mit folgendem Kommandozeilenbefehl auf der Zertifizierungsstelle überprüft werden:

certutil -v -getreg CA\SubjectTemplate

Diese Einstellung ist variabel. Beispielsweise fügt die Installation eines NDES Servers weitere RDNs hinzu.

In der Standardeinstellung wird die Zertifizierungsstelle exakt gemäß der hier definierten Reihenfolge in ausgestellte Zertifikate eintragen. Einige Anwendungen haben Probleme mit diesem Verhalten. Die Reihenfolge kann verändert werden, oder die Zertifizierungsstelle konfiguriert werden, das beantragte Subject ohne weitere Prüfung zu übernehmen.

Eine feingranulare Steuerung für manuelle Zertifikatanforderungen, welche RDNs zulässig sind und welche Inhalte zulässig sind kann mit dem TameMyCerts Policy Modul für Microsoft Active Directory Certificate Services vorgenommen werden.

Weiterführende Links:

Externe Quellen

12 Gedanken zu „Erlaubte Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate“

  1. Pingback: Chrome und Safari limitieren SSL Zertifikate auf ein Jahr Gültigkeit – Uwe Gradenegger
  2. Pingback: Details zum Ereignis mit ID 22 der Quelle Microsoft-Windows-CertificationAuthority – Uwe Gradenegger
  3. Pingback: Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)" – Uwe Gradenegger
  4. Pingback: Die Reihenfolge der Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate ändern – Uwe Gradenegger
  5. Pingback: SSCEP: Subject of our request does not match that of the returned Certificate! – Uwe Gradenegger
  6. Pingback: Verwenden von nicht definierten Relative Distinguished Names (RDN) in ausgestellten Zertifikaten – Uwe Gradenegger
  7. Pingback: Das Subject (Betreff, Antragsteller) einer Zertifikatanforderung (CSR) nachträglich verändern – Uwe Gradenegger
  8. Pingback: Codesignaturen von Appx Paketen per SignTool.exe schlagen fehl mit Fehlercode 0x8007000b (ERROR_BAD_FORMAT) – Uwe Gradenegger
  9. Pingback: Grundlagen: Namenseinschränkungen (Name Constraints) – Uwe Gradenegger
  10. Pingback: Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat – Uwe Gradenegger
  11. Pingback: Zur Option "Build this from Active Directory information" bei Zertifikatvorlagen – Uwe Gradenegger
  12. Pingback: Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754) – Uwe Gradenegger

Kommentare sind geschlossen.

de_DEDeutsch
en_USEnglish de_DEDeutsch