OpenSSL、x509：CN（一般名）の意味は何ですか？

歴史的に、証明書の識別名（X.500で指定）はエンティティを指定するためのものでしたDirectory内。これは、ID管理データ用のグローバルな世界規模のツリー構造リポジトリです。ディレクトリは [〜＃〜] dns [〜＃〜] に似た方法で、サブサーバーへの委任を持つ巨大なLDAPサーバーと考えることができます。ただし実際には、ディレクトリは存在しなかったため、LDAPはDirectory Access Protocolの実用的なサブセットです。それでも、命名原則は引き続き有効です。

DNは、タイプされた名前付き要素の順序付けされたシーケンスであり、ディレクトリの場合、国、州または県、組織、組織単位（場合によっては複数）、次に一般名の順序で来る必要があります。 X.500はかなり制限がなく、他の順序も可能です（そしてこのフォーマットは、同じレベルに複数の名前要素を置くことをサポートします）。したがって、エンティティの共通名、anyエンティティは、最も正確な命名要素です。

ディレクトリは実際には存在しないため、次の制限に従って、必要なほぼすべてのものを共通名に含めることができます。

• エンコーディングはX.509に準拠している必要があります ASN.1仕様 ：共通名は64文字に制限されています（標準に従ってUTF8Stringを使用する場合は64コードポイント）。
• 証明書のIssuerDNは、発行者のSubjectDNと等しい必要があります。等価ルールは理論的には大文字と小文字を区別しませんが、完全なUnicodeの世界で実装するにはルールが複雑になる可能性があるため、バイトごとの等価性があることを確認してください。
• SSLサーバーの証明書には、クライアントが期待するサーバー名が含まれている必要があります（HTTPSを使用している場合） 、この名前はURL内の名前になります）。これは RFC 2818 で指定されます。 Subject Alt Name拡張機能は通常使用されますが、この拡張機能がない場合は、共通名がバックアップとして機能します。 SSLクライアントの実装は常に関連するRFCに厳密に準拠しているとは限らないため、SSLサーバーの証明書にサーバーのDNS名が共通名（完全修飾）として含まれている場合、問題を回避するのが最善です"security.stackexchange.com"のような名前）。
• 証明書、または証明書から抽出されたIDが人間のユーザーに「表示」されると、共通名が目立つようになります。たとえば、Windowsシステムでスマートカードログオンを使用している場合、スマートカードを挿入すると、ログオン画面に共通名が大きな文字で表示されます。したがって、一般名を一般人にとって意味のあるものにした方がよいでしょう。

VPNサーバーの場合、クライアントからの証明書はサーバーの唯一の使用のためのものです。サーバーは、サブジェクトDNとその共通名を含む証明書の内容を、完全に無視することを含め、適切と思われる方法で解釈します。たとえば、Microsoft IIS + Active Directoryコンテキストでは、クライアントが証明書を通じて認証されると、サーバーはUser Principal Nameを使用します。 Microsoft固有のOIDに基づくSubject Alt Name拡張。共通名は、人間のユーザーがいる場合（証明書選択ポップアップの一部としてなど）、人間のユーザーには表示されますが、認証の目的では無視されます。

一般的に、クライアントの証明書には、VPNサーバーが使用する認証システムに必要なものをすべて含める必要があります。これは高度に構成可能であるため、ローカルコンテキストに大きく依存します。たとえば、VPNサーバーは認証を [〜＃〜] radius [〜＃〜] サーバーに委任できます。この場合、証明書の特性（一般名を含む）はRADIUSサーバーのドキュメント。 VPNサーバーの場合、これは単なる不透明なblobになります。

意味は、特定の実装とインストールによって異なります。通常、特定のVPNコンシューマを識別します。ユーザー、ホスト、または構成セットであること。

通常、署名パスは証明書が許可されるかどうかを決定しますが、CNはwhichが許可される証明書を決定します。