X509CertificateのCNは、私が知りたい文字

Question

をサポートするかどうかのX509Certificate CN（commonNameの）国際化文字をサポートし、すべてのサポートされている文字が

Answer 1

を設定している私はあなたが発行者やサブジェクトの識別名にCNについて話していると仮定問題のX509証明書の「インターネットX.509公開鍵暗号基盤証明書と証明書失効リスト（CRL）プロフィール」の

RFC 5280は同じで識別名

-- Naming attributes of type X520CommonName: 
-- X520CommonName ::= DirectoryName (SIZE (1..ub-common-name)) 
-- 
-- Expanded to avoid parameterized type: 
X520CommonName ::= CHOICE { 
     teletexString  TeletexString (SIZE (1..ub-common-name)), 
     printableString PrintableString (SIZE (1..ub-common-name)), 
     universalString UniversalString (SIZE (1..ub-common-name)), 
     utf8String  UTF8String  (SIZE (1..ub-common-name)), 
     bmpString   BMPString  (SIZE (1..ub-common-name)) } 

に共通名AttributeTypeAndValueのための許容値の定義が含まれています時間は、しかし、それは

このプロファイルに準拠するCA はPrintableStringのかDirectoryString

0123の UTF8Stringをエンコーディングのいずれかを使用しなければならないと言います

（上記のASN.1コメントのDirectoryNameは、実際にはDirectoryStringである必要があります。エラッタ）

後方互換性のためにこれにはいくつかの例外がありますが、一般的なケースを考えてみましょう。

したがって、共通名は、PrintableStringまたはUTF8Stringのいずれかです。前者は、後者が行う文字の小さなサブセットのみを使用することができます。つまり、あなたは効果的にUTF-8で表現できるものに限られています。

---

これは、あなたの好みのCAに行き、野生のUnicode文字を含むサブジェクト共通名と証明書の取得を主張することができ、しかし、意味するものではありません。 CAは、発行する証明書のサブジェクトで許可する文字セットを制限している可能性があります。これは、偶発的なもの（何らかの理由でソフトウェアがそのセットに限定されている可能性があります）、他のレガシーソフトウェアとの相互運用性を意図したもの、または意図的なセキュリティ手段です。類似の見た目のUnicode文字の誤用を防止します。

このような制限は、名前制約拡張を使用してCA証明書に文書化することさえできます。その場合、CAは制限を回避することはできません。