По умолчанию unique_subject установлено на yes, что не позволяет подписывать несколько сертификатов с одинаковым отличительным именем. Попытка подписать такой сертификат приведет к следующему сообщению об ошибке.
failed to update database
TXT_DB error number 2
Однако существует явный вариант использования для разрешения дублирования dn, а именно для выдачи сертификатов проверяющим сторонам с продленным сроком действия. Например, сертификат веб-сайта, который необходимо обновить через пару месяцев (аналогичный аргумент был приведен в [1]). Без изменения настроек вы можете выдать новый сертификат с тем же dn только в случае отзыва существующего сертификата. Но вы можете предоставить владельцу сайта льготный период, в течение которого действительны оба сертификата. Единственный другой вариант, с которым я столкнулся, - это изменить что-то в dn (например, OU), что менее важно для сертификата [2].
В документации openssl [3] есть запись для unique_subject в котором они предлагают, чтобы по умолчанию был выбран для совместимости со старыми версиями. На странице также упоминается, что это значение должно быть установлено на no, чтобы упростить переход. Это говорит мне о том, что значение no совершенно нормально и, возможно, должно быть значением по умолчанию.
Многие ссылки могут быть найдены на это свойство, и часто предлагается, чтобы это значение было установлено на no (в файлах openssl.cnf и index.txt.attr) [1, 2, 3, 4, многие другие]. Я нашел только одно место, где кто-то предложил оставить его на yes или, по крайней мере, его не интересовало его действительное значение [5]. Но в этой ветке было дано только пустое утверждение:
For the use case of a VPN, as EasyRSA was originally intended, the current setting is
best.
Это так? Почему?
Я понимаю, что делает опция и как ее использовать. То, что я не могу найти, является рациональным для более раннего значения по умолчанию yes.
Существуют ли какие-то проблемы с безопасностью, которые openssl ca пыталась решить с этим значением по умолчанию?
Каковы риски выпуска двух сертификатов с тот же dn?
Существуют ли какие-то правила, которые следует соблюдать при установке unique_subject=no?
Существуют ли действительные причины для того, чтобы оставить значение по умолчанию?
Короче говоря, есть аргументы в пользу предотвращения нескольких действительных сертификатов с одним и тем же dn?
[1] https://github.com/OpenVPN/easy-rsa/issues/40#issuecomment -56191531
[2] https://serverfault.com/a/810608 (ответ на https://serverfault.com/questions/810557/how-do-i-issue-multiple-certificates-for-the-same-common-name)
[3] https://www.openssl.org/docs/man1.1.1/man1/openssl-ca.html
[4] Как подписать запрос на подпись сертификата в вашем центре сертификации?
[5] https://github.com/OpenVPN/easy-rsa/issues/40#issuecomment -150035723