Por ejemplo:
del Certificado SSL emitido:
CN = abc.com.my, OU = Habitación, O = Casa, C = MI
desde la CSR generada:
CN = abc.com.my, OU = Habitación, O = Casa, L = KL, ST = KL, C = MI
¿Es legal que una CA pública cambie el nombre distinguido al emitir el certificado SSL, o el nombre distinguido debe coincidir exactamente con lo que proporcioné en la CSR?
¿O solo deben coincidir algunos campos obligatorios en ambos, como el Nombre de dominio completo (FQDN)?
Es legal y es posible que la CA tome una CSR y modifique el DN que encuentre allí antes de emitir el certificado.
Por ejemplo, con StartSSL , los certificados gratuitos ignoran el DN proporcionado y se emiten basándose únicamente en la clave pública, el nombre de dominio solicitado CN), el país (C) y el correo electrónico del solicitante (E). Y de acuerdo con la interfaz de usuario, todo, excepto la clave pública, proviene del proceso de solicitud interactiva, no del CSR en sí:
Lea otras preguntas en las etiquetas public-key-infrastructure tls certificate-authority x.509 compliance