Aqui estão as definições de RFC 5280 (Setião 3.2) :
Self-issued certificates are CA certificates in which the issuer and subject are the same entity. Self-issued certificates are generated to support changes in policy or operations. Self- signed certificates are self-issued certificates where the digital signature may be verified by the public key bound into the certificate. Self-signed certificates are used to convey a public key for use to begin certification paths.
Então, sim, por definição, como um certificado autoassinado é um certificado específico emitido pelo usuário, o DN do Emissor deve corresponder ao DN do assunto.
(Se esse DN de assunto precisa estar no CSR é um assunto diferente, pois (a) as CAs não têm nenhuma obrigação de manter o DN de assunto exato ao transformar um CSR em um certificado (na verdade, eles devem verificar tudo eles colocam em um certificado por outros meios) e (b) as etapas que transformam um CSR em um certificado auto-assinado têm mais a ver com a forma como openssl
é usado para isso e como ele é configurado.Isso é realmente apenas um detalhe. )
Se você deseja que sua própria CA seja auto-assinada ou auto-emitida, é sua escolha. Geralmente faz sentido fazê-lo (pelo menos por clareza). Em princípio, os certificados de CA usados como âncoras de confiança por partes remotas não precisam ser autoassinados (consulte a seção 6):
The selection of a trust anchor is a matter of policy: it could be the top CA in a hierarchical PKI, the CA that issued the verifier's own certificate(s), or any other CA in a network PKI. The path validation procedure is the same regardless of the choice of trust anchor.