J'ai un site Web avec plusieurs applications Web qui repose sur l'authentification de l'utilisateur final avec leur certificat client x509. Nous observons que le même certificat, lorsqu'il est traité par une application .Net, affiche un DN Objet différent que lorsqu'il est traité par une application Java, lorsque le DN contient un attribut d'adresse de messagerie.x509 CERT avec adresse e-mail dans le sujet sont différents dans java. Net NET
En .Net, je vois le serveur CERT_SUBJECT variables comme ceci:
C=US, S=Delaware, L=Wilmington, O=IDFC Dev, OU=Test, CN=Richard Sand, [email protected]
En Java, quand j'explore l'objet de certificat X509 pour le même cert (même session du navigateur), le sujet est:
[email protected], CN=Richard Sand, OU=Test, O=IDFC Dev, L=Wilmington, ST=Delaware, C=US
Ignorant l'ordre inverse des attributs (ce qui est un phénomène connu), le problème que nous avons est que dans Java l'attribut d'adresse e-mail est EMAILADDRESS alors que dans .Net le même attribut montre que E.
Creuser plus loin, OpenSSL montre cette sortie:
openssl.exe pkcs12 -in my.pfx -info
subject=/C=US/ST=Delaware/L=Wilmington/O=IDFC Dev/OU=Test/CN=Richard Sand/[email protected]
Alors que quand je considère le même certificat soit dans les magasins de certificats IE ou Firefox, ils montrent E =, par exemple:
E = [email protected]
CN = Richard Sand
OU = Test
O = IDFC Dev
L = Wilmington
S = Delaware
C = US
I sachez qu'il peut sembler trivial de simplement caler dans un code pour changer une "interprétation" du DN Objet à l'autre, mais le problème est que nous avons deux produits COTS que nous ne pouvons pas modifier, et avant de commencer à pirater le problème que je veux comprendre lequel (ou sont les deux?) correct et si Il y a quelque chose sur une couche qui cause la divergence. Les RFC semblent tous faire référence à EMAILADDRRESS, mais comme dit à la fois IE et FF ainsi que l'application .Net semblent tous utiliser "E"
Quelqu'un peut-il expliquer pourquoi cela se produit?
Merci!
Comme @pedrofb mentionné dans sa réponse 'E' et' EmailAddress' sont des synonymes. Chaque plateforme peut spécifier sa propre traduction d'OID. Quant aux sujets, ils ne sont pas complètement différents. C'est juste que l'on est dans l'ordre inverse. – pepo