X.509证书中的可分辨名称长度限制

即使您可以通过劝说证书生成代码来延长CN的长度，但是也需要更改客户端，而其中大多数您无法控制。客户端可能会拒绝具有过长CN的证书，然后您将根本没有证书。
如评论中所述，您可以（并且应该）将其和其他域名放入Subject Alternate Name扩展中，并将CN留空。不是整个“Subject”，而只是其中的CN部分。

如果你想像@Chris Cogdon暗示的那样“哄骗”证书生成代码，这并不难。我需要在反向工程挑战中这样做，所以违反标准并不重要。我完全同意你不应该这样做的信息，但我还是会解释一下我是如何做到的，因为这花了我一点时间去找出来。
以下是（粗略的）步骤：
1. 从https://ftp.openbsd.org/pub/OpenBSD/LibreSSL/下载最新的libressl源代码（我使用2.6.0，因为它是macOS Mojave上的版本） 2. 解压缩/解包/压缩，并在您喜欢的编辑器中打开/crypto/asn1/a_mbstr.c 3. 查找类似下面这样的内容：

    if ((maxsize > 0) && (nchar > maxsize)) {
        ASN1error(ASN1_R_STRING_TOO_LONG);
        ERR_asprintf_error_data("maxsize=%ld", maxsize);
        return -1;
    }

并将其注释掉。对于版本2.6.0，在第155-159行上。删除这些行将删除最大CN长度检查。

4. 按照README文件中的说明构建二进制文件。在macOS上进行构建时，我不需要安装任何库，但您的情况可能会有所不同。我使用了cmake，将新的openssl二进制文件放置在/build/apps/openssl中。

5. 使用命令行标志生成CSR（注意：不是交互式工具--它具有特殊检查，此修改不能修补！）。

例如：

/build/apps/openssl/openssl req -new -newkey rsa:2048 -nodes -out a.csr -keyout a.key -subj "/CN=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"

6. 使用原始的openssl二进制文件（或者如果您愿意，可以使用修改后的文件）签署CSR：openssl x509 -req -in a.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out a.crt -days 500 -sha256

之后，您应该准备好使用非符合证书。正如评论中许多人和Chris Cogdon所指出的那样，使用CN长于64个字符的证书存在许多问题（macOS curl无法与使用这些证书的服务器通信，Wireshark在展示中截断CN等）。然而，至少可以确认这些证书在某些特定情况下是可用的，因为该证书正好适用于我所需要的工作。

我在实际应用中看到的一个技巧是使用通配符证书。

例如，使用CN='*.example.com'的证书来保护'very-truly-tremendously-[...]-long-hostname.example.com'。