ワイルドカード証明書のコモンネーム(CN)
ワイルドカードSSL/TLSサーバ証明書は、同じドメイン名内の複数のサブドメインをセキュア化しようとしている場合のオプションとして見なされます。ドメイン名フィールドにワイルドカード文字(*)を使用するこれらの証明書は、同じベースドメインにリンクされる多数のサブドメイン(ホスト)をセキュア化します。
注記
The Common Name for wildcard certificates always starts with an asterisk and dot (*.). For example, *.(domainname).com
例えば、*.domain.com に発行される標準的なワイルカード証明書は、www.domain.com、mail.domain.com、およびinfo.domain.comをセキュア化しますが、mail.test.com はセキュア化しません。
注記
サブジェクトの別名(SAN)は、ワイルドカードドメイン(*.yourdomain.comなど)であるか、リストされているワイルドカードドメインに基づくものである必要があります。例えば、ワイルドカードドメインの1つが*.example.comである場合、www.example.comを使用することはできてもmail.secure.comは使用できません。両方のドメインをセキュア化するグローバル・サーバID証明書は例外です。
CNに基づいたウェブブラウザでの証明書のインストール
デフォルトで、申請された証明書は一致するすべてのドメインにインストールされると想定されています。ただし、デジサートがサポートする各ウェブサーバーには、証明書を適格なドメインのみにインストールすることを必須とする規則があります。
Nginx
自動化リクエストが届くと、サーバーはそのリクエストで使用されているCNまたはSANに基づいて一致するサーバーブロックを探します。
Nginxは、server_nameをリクエスト内にあるCNまたはSANと比較します。
一連のサーバーブロックで一致するserver_nameが見つかると、一致するすべてのサーバーブロックがセキュア化されます。
例:
server {
server_name 8010.abc-example.com *.abc-example.com;
listen 123.123.123.123:8010 ;
}
server {
server_name 8020.abc-example.com *.mail.abc-example.com ;
listen 123.123.123.123:8020 ;
}
server {
server_name 8030.abc-example.com *.abc-example.com ;
listen 123.123.123.123:8030 ;
}上記の例では、自動化のリクエストで以下が行われます。
CN=*.abc-example.com – ポート8010と8030のサーバーブロック両方をセキュア化します。
CN=*.mail.abc-example.com – ポート8020のサーバブロックのみをセキュア化します。
CN={8010/8020/8030}.abc-example.com – 該当するサーバーブロックのみをセキュア化します。
CN=*.abc-example.comおよびSAN=*.mail.abc-example.com – すべてのサーバーブロックをセキュア化します。
Apache
自動化リクエストが届くと、サーバーはそのリクエストで使用されているCNまたはSANに基づいて一致する<VirtualHost>ブロックを探します。
Apacheは、ServerNameとServerAliasをリクエスト内にあるCNまたはSANと比較します。
一連の仮想ホストで一致するServerNameまたはServerAliasが見つかると、一致するすべての仮想ホストブロックがセキュア化されます。
例:
Listen 551 <VirtualHost 125.125.125.125:551> ServerName 551.abc-example.com ServerAlias *.mail.abc-example.com </VirtualHost> Listen 552 <VirtualHost 125.125.125.125:552> ServerName 552.abc-example.com ServerAlias *.abc-example.com </VirtualHost> Listen 553 <VirtualHost 125.125.125.125:553> ServerName 553.abc-example.com ServerAlias *.abc-example.com securemail.abc-example.com </VirtualHost>
上記の例では、自動化のリクエストで以下が行われます。
CN=*.abc-example.com – ポート552と553の仮想ホストブロックの両方をセキュア化します。
CN=*.mail.abc-example.com – ポート551の仮想ホストブロックのみをセキュア化します。
CN={551/552/553}.abc-example.com – 該当する仮想ホストブロックのみをセキュア化します。
CN=*.abc-example.comおよびSAN=*.mail.abc-example.com – すべての仮想ホストブロックをセキュア化します。
IIS
IISサーバーは、自動化リクエストで使用されている一致するCNまたはSANを探しません。証明書は、リクエストされたIPアドレスとポートのみにインストールされます。
例:
IP/Port: 123.123.123.123: 401 Common name: *.example.com IP/Port: 125.125.125.125: 402 Common name: *.abc.example.com SANs: *.mail.example.com IP/Port: 127.127.127.127: 403 Common name: *secure.example.com SANs: *.example.com
上記の例では、自動化のリクエストで以下が行われます。
IP/ポート=123.123.123.123:401、CN=*.example.com – 123.123.123.123401IPアドレスとポートのみをセキュア化します。
IP/ポート=125.125.125.125:402、CN=*.example.com、SAN=*.mail.example.com – 125.125.125.125402IPアドレスとポートのみをセキュア化します。
IP/ポート=127.127.127.127:403、CN=*secure.example.com, SAN=*.example.com — 127.127.127.127403IPアドレスとポートのみをセキュア化します。
Tomcat
自動化リクエストが届くと、サーバーはそのリクエストで使用されているCNおよび/またはSANに基づいて一致する<Connector>ブロックを探します。
Tomcatは、server_nameをリクエスト内にあるCNおよび/またはSANと比較します。
一連のコネクタブロックで一致するSSLHostConfigホスト名が見つかると、一致するすべてのブロックがセキュア化されます。
例:
http to https Automation
<Connector port="182" SSLEnabled="false" defaultSSLHostConfigName="*.abc.example.com" connectionTimeout="20000">
<SSLHostConfig hostName="*.abc.example.com"> </SSLHostConfig>
</Connector>
<Connector port="183" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
<SSLHostConfig hostName="*.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.mail.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="abc.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.blog.example.com"> </SSLHostConfig>
</Connector>
<Connector port="184" SSLEnabled="false" defaultSSLHostConfigName="*.secure.example.com" connectionTimeout="20000">
<SSLHostConfig hostName="*.secure.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.blog.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="abc.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.login.example.com"> </SSLHostConfig>
</Connector>上記の例では、自動化のリクエストで以下が行われます。
<Connector port="8082" connectionTimeout="20000" protocol="HTTP/1.1" defaultSSLHostConfigName="*.avp.cert-testing.com"
SSLEnabled="true">
<SSLHostConfig hostName="*.avp.cert-testing.com">
<Certificate
certificateKeyFile="C:\Certbot\-v1ItahTQMXDj5mWSECcn7o182xIChVEwGzsznbccjk\live\avp.cert-testing.com\privkey.pem"
certificateFile="C:\Certbot\-v1ItahTQMXDj5mWSECcn7o182xIChVEwGzsznbccjk\live\avp.cert-testing.com\cert.pem"
type="RSA"/>
</SSLHostConfig>
</Connector>In the above examples, when you request automation for:
CN=*.abc.example.com – ポート182のコネクタブロックのみをセキュア化します。
CN=*.example.com – ポート183のコネクタブロックのみをセキュア化します。
CN=*example.com – すべてのコネクタブロックをセキュア化します。
CN=*.secure.example.comおよびSAN=*.secure.example.com、*.blog.example.com、abc.example.com、*.login.example.com – ポート184のコネクタブロックのみをセキュア化します。
注記
自動化を正常に行うには、コネクタ内のすべてのSSLHostConfigブロックに証明書がインストールされている必要があります。
CN=*.example.comおよびSAN=*.mail.test.comを使用して自動化をリクエストする必要があります。
<Connector port="123" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
<SSLHostConfig hostName="*.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.mail.test.com"> </SSLHostConfig>
<SSLHostConfig hostName="abc.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.blog.example.com"> </SSLHostConfig>
</Connector>IBM
自動化リクエストが届くと、サーバーはそのリクエストで使用されているCNまたはSANに基づいて一致する<VirtualHost>ブロックを探します。
IBMサーバーは、ServerNameとServerAliasをリクエスト内にあるCNまたはSANと比較します。
一連の仮想ホストで一致するServerNameまたはServerAliasが見つかると、一致するすべての仮想ホストブロックがセキュア化されます。
例:
Listen 125.125.125.125:551 <VirtualHost 125.125.125.125:551> ServerName 551.abc-example.com ServerAlias *.mail.abc-example.com </VirtualHost> Listen 125.125.125.125:552 <VirtualHost 125.125.125.125:552> ServerName 552.abc-example.com ServerAlias *.abc-example.com </VirtualHost> Listen 125.125.125.125:553 <VirtualHost 125.125.125.125:553> ServerName 553.abc-example.com ServerAlias *.abc-example.com securemail.abc-example.com </VirtualHost>
上記の例では、自動化のリクエストで以下が行われます。
CN=*.abc-example.com – ポート552と553の仮想ホストブロックの両方をセキュア化します。
CN=*.mail.abc-example.com – ポート551の仮想ホストブロックのみをセキュア化します。
CN={551/552/553}.abc-example.com – 該当する仮想ホストブロックのみをセキュア化します。
CN=*.abc-example.comおよびSAN=*.mail.abc-example.com – すべての仮想ホストブロックをセキュア化します。
CN=551.abc-example.comおよびSAN=securemail.abc.com – ポート551と553の仮想ホストブロックのみをセキュア化します。