公共证书 – 违反行业标准的数据条目

基准要求和 RFC 5280 违规

对于公开信任的证书,行业标准(基准要求RFC 5280)要求数据录入满足特定标准。在订单证书时违反这些标准将导致证书颁发机构 (CA) 无法颁发证书。

组织单位值违规

对于公开信任的证书,组织单位值不是必需的值(字段)。根据基准要求,证书颁发机构 (CA) 仅需验证组织单位值(如果提供了值)。如果您将此字段留空(不提供组织单位值),即表示您指示 CA 不在证书中纳入此字段。

基准要求还禁止此值为或显示为"垃圾"数据或不适用的指示符(na、? 等),这有助于控制证书的大小。控制证书的大小能确保更多的用户和网站运营商可访问 TLS。

下表包含了如果在组织单位值中输入则无法表示有效的组织单位值的一些字符。

  • "-"(连字符)
  • " "(空格符)
  • "。"(句点)
  • "?"(问好)
  • "na"(不适用)
  • "NA"(不适用)

如果您仅在组织单位值中输入连字符,CA 将无法验证该值。但是,如果您输入的组织名称包括连字符(例如,Dev-Ops),该连字符不会阻止 CA 验证您的组织单位值。

64 个字符长度限制违规

对于公开信任的证书,我们不允许这些值(数据条目)超出 64 个字符的长度限制,包括空格:

  • 公用名
    我们不允许公用名值超出 64 个字符长度限制。但是,使用者可选名称 (SAN) 值不和公用名值适用相同的字符长度限制。证书订单(例如,多域 SSL 证书订单)中包括的 SAN 可以超过 64 个字符。
  • 组织
    组织是否包括假名?而且,您计划对该组织进行扩展验证 (EV) 证书的验证?
    请确保组织名称 + 假名值不超过 64 个字符,包括空格。
  • 街道地址 1
  • 街道地址 2
  • 城市
  • 邮政编码

使用下划线违规

对于公开信任的证书,我们不再允许在以下名称中使用下划线 ( _ ):

  • 使用者公用名
  • 使用者可选名称 (SAN)

从 2018 年 10 月 1 日开始,我们仅为使用以下字符的域和子域颁发证书:

  • 小写字母 a-z
  • 大写字母 A-Z
  • 数字 0-9
  • 特殊字符:句点(.) 和连字符 (‐)

目前您可以在其他证书值中使用下划线,例如组织单位和组织名称。但是,我们正在重新评估是否允许在这些值中使用下划线。行业标准可能有变,并要求您也从这些值中删除下划线。