<div dir="auto">From memory, the root signing certificate is a self signed certificate and is used as the root of trust for any PKI. The root ca server (RA) should never go online and it's purpose is to issue signing certificates for Intermediate Certificate Authorities. These ICAs are used to issue certificates for a variety of purposes including TLS encryption and identification. Many years ago, the Subject of a certificate used for TLS held the FQDN for the associated server. Some older browsers may still expect this behavior. Today the Subject Alternate Name (SAN) attribute in a certificate is much more critical than the Subject name. Distinguished Name is always (as far as I know) a structured value and is used to determine identification of the entity the certificate is issued to.  The uniqueness of a certificate is based on ICA + Serial Number. <div dir="auto"><br></div><div dir="auto">A good starting point to read about x509 certificates is <a href="https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/certificate-concepts/ba-p/395181">https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/certificate-concepts/ba-p/395181</a></div><div dir="auto"><br></div><div dir="auto">If you intend to create your own private PKI service, you will need to add the certificate authority hierarchy (RA and ICAs) to the devices that need to trust that certificate. Even after doing that, there may be some browsers that do not automatically trust a new root CA added to the system's certificate store. </div><div dir="auto"><br></div><div dir="auto"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, May 15, 2023, 9:45 AM Robert Moskowitz <<a href="mailto:rgm@htt-consult.com">rgm@htt-consult.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">this is the first time in decades I have been doing serious PKi design,,,<br>
<br>
I am now looking at the various certificates, each with different <br>
keypairs that the CA uses.<br>
<br>
It has its base authorization-to-exist cert that SHOULD rarely be used <br>
other than to sign its other certs.<br>
<br>
It has a signing cert for signing the certs of all of its subscribers.<br>
It has a CRL signing cert, well for signing any CRLs it generates.<br>
It may have an OSCP signing cert.<br>
...<br>
<br>
The question is what to use for subjectName for all of these?  What is <br>
the "common" practice.  I have been googling and reading docs all <br>
morning and not finding anything on this subject.<br>
<br>
Is the practice to use a lower OU level for these certs below the CA's <br>
base cert?<br>
Are they all named the same (unique_subject=no) with only the <br>
subjectKeyIdentifier different and the CA operator 'knowing' which to <br>
use where, but not (necessarily) outsiders to the CA?<br>
<br>
Duplicate subjectName, but something like a policy OID to identify which <br>
is for what?<br>
<br>
My search foo is weak, and I have to run off to a dr appt and I really <br>
want to get this part settled today.<br>
<br>
Sigh.  It is always one more hurdle.<br>
<br>
thanks for any pointers.  I am just not finding something to read that <br>
gives guidance on best practices for this.<br>
<br>
<br>
<br>
</blockquote></div>