X.509证书中的“通用名称”属性允许使用哪些字符串？

Distinguished Name 中的通用名称属性编码方式为：

X520CommonName ::= CHOICE {
      teletexString     TeletexString   (SIZE (1..ub-common-name)),
      printableString   PrintableString (SIZE (1..ub-common-name)),
      universalString   UniversalString (SIZE (1..ub-common-name)),
      utf8String        UTF8String      (SIZE (1..ub-common-name)),
      bmpString         BMPString       (SIZE (1..ub-common-name)) }

其中ub-common-name为64。最后三种编码允许使用所有Unicode码点（对于超过0xFFFF的码点，使用UTF-16和bmpString）；UTF-8是首选编码（至少标准中是这样规定的）。

就X.509而言（参见RFC 5280），DN元素的内容在相等比较之外无关紧要；这意味着您可以放置任何字符序列，只要您保持一致即可。RFC 5280强制使用UTF-8编码的名称元素进行大小写不敏感的比较，在Unicode的一般上下文中并不容易：请参见第7.1节，其中链接到RFC 4518和3454。此外，“常用名称”通常会显示给用户（至少在使用具有显示和实际用户的X.509证书的系统上），因此您可能希望使用有意义或至少不太可怕的字符串，并尝试避免非拉丁脚本。

将DNS名称放入“常用名称”属性中是HTTPS服务器证书的常见实践：请参见RFC 2818（服务器证书包含服务器名称，客户端将其与URL中的服务器名称进行匹配；通常，Subject Alt Name扩展更受客户端支持，但常用名称在客户端中的支持范围略有广泛）。

虽然上述答案涵盖了通常在其中找到的内容，但不要忘记，因为这是X.509证书，您实际上可以将几乎任何内容放入其中。例如下面的证书使用0.9.2342.19200300.100.1.5，即“最喜爱的饮料”（请参见https://www.alvestrand.no/objectid/0.9.2342.19200300.100.1.5.html）。OpenSSL理解这一点，因此通用名称显示为CN=example.com/emailAddress=test@example.com/favouriteDrink=tequila。还有许多其他字段可以放在证书通用名称中。
您可以使用openssl x509 -text验证证书是否按照我描述的方式显示。

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

如果您的主要问题是想知道是否（或应该）在Subject DN的Common Name中放置IP地址，答案是否定的。这与X.509格式无关，而与规范如何解释所读内容有关。就HTTPS而言，RFC 2818提到了IP地址：在某些情况下，URI被指定为IP地址而不是主机名。在这种情况下，证书中必须存在iPAddress subjectAltName，并且必须与URI中的IP完全匹配。这意味着CN根本不应用于IP地址，SAN条目类型必须是IP地址，而不是DNS。（一些浏览器可能不会完全实现此功能，因此它们可能更加宽容。Java默认主机名验证程序将很严格。）
最佳实践证书身份验证也已在RFC 6125中定义，但它认为IP地址不在范围内（阅读此部分可了解针对在那里使用IP地址的论据）。 如果您查看有关其他协议的RFC摘录，则某些协议也具有类似的限制，例如LDAP。

“通用名称”属性在X.509证书中允许使用哪些字符串？
我无法回答应该使用哪些字符串，但可以告诉你不允许使用的内容：服务器名称，如主机名（www.example.com），内部名称（如www）和IP地址（如127.0.0.1或100.100.100.100）。
将DNS名称或服务器名称放在通用名称（CN）中已被IETF和CA / Browser论坛废弃。 尽管已过时，但目前尚未禁止使用。 CA / B非常重要，因为这是浏览器遵循的规则 - 浏览器不遵循IETF。
IETF在RFC 6125第2.3节中废弃了这种做法，而CA / B在“基线要求”第9.1.1节中废弃了这种做法。
所有服务器名称都放在“主题备用名称”（SAN）中。 在CA / B基线要求第9.2.1节中，将服务器名称放在SAN中是必需的。 IETF在发行期间更加宽容，在RFC 5280中的6.4.4节下进行验证时需要使用它。