DN de certificados

Tenho algumas perguntas relacionadas ao DN em Certificados,

1. É possível que vários certificados de usuários tenham o mesmo DN emitido pela mesma CA? Além disso, está correto para um usuário ter vários certificados com o mesmo DN e a mesma validade?

2. É possível incluir informações relacionadas à CA (número de série, nome ou ID etc.) em algum atributo do DN do certificado do usuário, caso tenhamos várias CAs? por exemplo, cn = usuário001, ou = SSL, ou = 001 , o = DS, c = EUA. Se sim, qual atributo podemos usar para isso?

Se possível, forneça um nome ou link para o RFC / padrão para obter mais orientações.

Obrigado

1. Sim. Você pode emitir certificados com o mesmo DN, mas esses certificados devem pertencer ao mesmo usuário. De acordo com a RFC5280, seção 4.1.2.6 :

Onde não estiver vazio, o campo assunto DEVE conter um nome distinto (DN) X.500. O DN DEVE ser exclusivo para cada entidade certificada pela CA, conforme definido pelo campo do emissor. A CA PODE emitir mais de um certificado com o mesmo DN para a mesma entidade em questão.

2. Embora seja possível, mas não acho que o que você sugeriu seja o melhor caminho. Todo certificado deve conter um campo "emissor", que não deve estar vazio, e deve conter um DN (consulte a seção 4.1.2.4 da RFC mencionada), que deve identificar inequivocamente a CA (pode conter um campo serialNumber, por exemplo ) Além disso, você pode incluir qualquer tipo de informação sobre o certificado de assinante na extensão do identificador de chave de autoridade, para que este seja o local para atributos arbitrários.