4.1.2.6. Держатель (владелец) СЕРТ|ОК «Subject»
Поле «Subject» идентифицирует субъекта, который связан с открытым ключом, помещённым в поле «Subject public key». Имя владельца сертификата может быть расположено в поле «Subject» и/или в субполе «subjectAltName» (альтернативное имя субъекта) поля «Расширения». Если держателем сертификата является УЦ (например, имеет место субполе «Basic constraints» в поле «Расширения» и значение флага «cA» (УЦ) — «TRUE», т.е. «подлинный»), то поле «Subject» должно обязательно содержать не пустое (non-empty) уникальное наименование, с которым сравниваются значения из полей «Subject» всех сертификатов, выпущенных этим УЦ, являющимся держателем сертификата. Если держателем сертификата является издатель СОС (например, представлено субполе «Key usage» в поле «Расширения» и значение в субполе «cRLSign» (подписанный СОС) — «TRUE», т.е. «подлинный»), то поле «Subject» должно обязательно содержать не пустое (non-empty) уникальное наименование, с которым сравниваются значения из полей «Subject» всех СОС, выпущенных этим издателем, являющимся держателем сертификата. Если информация, именующая владельца сертификата, представлена только в субполе «subjectAltName» (альтернативное имя) поля «Расширения» (например, ключ привязан только к адресу электронной почты или URI-идентификатору), то имя владельца сертификата должно быть только пустой последовательностью, а субполе «subjectAltName» должно иметь статус «критично» (critical).
Если поле «Subject» не пустое, то оно должно содержать уникальное имя, закодированное в соответствие с правилами Рекомендации Х.500 (УИ/Х.500). УИ/Х.500 должно быть взаимно-однозначным для каждого владельца СЕРТ|ОК, выпущенного одним УЦ, указанным в поле «Issuer». УЦ может выпустить несколько сертификатов с одним и тем же УИ/Х.500 для одного и того же владельца, указанного в поле «Subject».
Поле «Subject» содержит наименование («Name»), тип которого определён Рекомендацией ITU-T X.501. Требования к внедрению этого поля аналогичны тем, которые определены для поля «Issuer». Прикладные системы, основывающиеся на данном стандарте, обязаны принимать имена владельцев сертификатов, включающие те типы атрибутов, которые требуются для поля «Issuer» (издатель). Прикладные системы, основывающиеся на данном стандарте, должны быть готовы к приёму имён владельцев сертификатов, включающих рекомендованные для поля «Issuer» (издатель) типы атрибутов. Синтаксис и соответствующие OID для таких типов атрибутов представлены в Приложении А. Прикладные системы, основывающиеся на данном стандарте, могут использовать представленные ниже правила сравнения при обработке неизвестных типов атрибутов (т.е. при обработке цепочек имён), значения которых используют одну из дополнительных функций кодирования из правил кодирования данных типа «DirectoryString». Двоичное сравнение следует использовать тогда, когда неизвестные типы атрибутов включают значения, закодированные с помощью дополнительных функций, но отличающихся от тех, которые используются для данных типа «DirectoryString». Такой подход позволяет прикладным системам обрабатывать сертификаты с неизвестными атрибутами в поле «Subject» (имя владельца сертификата).