We are dealing with 10s of CAs and thousands of certificates.<br><br>We have been using serialized DNs for years in ActiveMQ and we didn&#39;t have problems.<br>Usually we get the DN and we just add it to the configuration. The update of DN usually is not<br>

an operation which cause us troubles.<br><br>Regards,<br>---<br>Massimo Paladin<br><br>email:�<a href="mailto:massimo.paladin@gmail.com">massimo.paladin@gmail.com</a><br>website:�<a href="http://www.mpaladin.com">http://www.mpaladin.com</a><br>

flickr&#39;s page:�<a href="http://flickr.com/photos/massimop">http://flickr.com/photos/massimop</a><br><br><br><br>On Tue, Jul 12, 2011 at 5:42 PM, Simon MacMullen &lt;<a href="mailto:simon@rabbitmq.com">simon@rabbitmq.com</a>&gt; wrote:<br>

&gt; On 12/07/11 16:33, Massimo Paladin wrote:<br>&gt;&gt;<br>&gt;&gt; Will this take part of the next release?<br>&gt;<br>&gt; I doubt it, nothing has been done.<br>&gt;<br>&gt; This is something Matthias and I have been arguing about for ages. I suspect<br>

&gt; that even though just RFC 4514-serialising the DN and doing string matching<br>&gt; is completely wrong in theory, in practice it would be what a decent number<br>&gt; of users would want. Matthias thinks that it will lead into a tarpit of bugs<br>

&gt; around DN equivalence. And I have to admit that he has much more real world<br>&gt; experience dealing with stupid SSL / x509 behaviour than I do!<br>&gt;<br>&gt; But neither of us really know. Hearing from people like you who want this<br>

&gt; would be helpful:<br>&gt;<br>&gt; * If you have many CAs, is that just a bunch of internal sysadmins running<br>&gt; Openssl or real-world CAs?<br>&gt;<br>&gt; * If you had to update usernames when a user had a new certificate and the<br>

&gt; DN format changed for some daft reason, how big a deal would that be?<br>&gt;<br>&gt; etc etc...<br>&gt;<br>&gt; Cheers, Simon<br>&gt;<br>&gt; --<br>&gt; Simon MacMullen<br>&gt; RabbitMQ, VMware<br>&gt;<br><br>