Skip to main content

ワイルドカード証明書のコモンネーム(CN)

ワイルドカードSSL/TLSサーバ証明書は、同じドメイン名内の複数のサブドメインをセキュア化しようとしている場合のオプションとして見なされます。ドメイン名フィールドにワイルドカード文字(*)を使用するこれらの証明書は、同じベースドメインにリンクされる多数のサブドメイン(ホスト)をセキュア化します。

注記

The Common Name for wildcard certificates always starts with an asterisk and dot (*.). For example, *.(domainname).com

例えば、*.domain.com に発行される標準的なワイルカード証明書は、www.domain.com、mail.domain.com、およびinfo.domain.comをセキュア化しますが、mail.test.com はセキュア化しません。

注記

サブジェクトの別名(SAN)は、ワイルドカードドメイン(*.yourdomain.comなど)であるか、リストされているワイルドカードドメインに基づくものである必要があります。例えば、ワイルドカードドメインの1つが*.example.comである場合、www.example.comを使用することはできてもmail.secure.comは使用できません。両方のドメインをセキュア化するグローバル・サーバID証明書は例外です。

CNに基づいたウェブブラウザでの証明書のインストール

デフォルトで、申請された証明書は一致するすべてのドメインにインストールされると想定されています。ただし、デジサートがサポートする各ウェブサーバーには、証明書を適格なドメインのみにインストールすることを必須とする規則があります。

Nginx

自動化リクエストが届くと、サーバーはそのリクエストで使用されているCNまたはSANに基づいて一致するサーバーブロックを探します。

Nginxは、server_nameをリクエスト内にあるCNまたはSANと比較します。

一連のサーバーブロックで一致するserver_nameが見つかると、一致するすべてのサーバーブロックがセキュア化されます。

例:

server {
        server_name 8010.abc-example.com *.abc-example.com;
        listen 123.123.123.123:8010 ;
}

server {
        server_name   8020.abc-example.com *.mail.abc-example.com ;
       listen 123.123.123.123:8020 ;
}
server {
        server_name   8030.abc-example.com *.abc-example.com ;
       listen 123.123.123.123:8030 ;
}

上記の例では、自動化のリクエストで以下が行われます。

  1. CN=*.abc-example.com – ポート8010と8030のサーバーブロック両方をセキュア化します。

  2. CN=*.mail.abc-example.com – ポート8020のサーバブロックのみをセキュア化します。

  3. CN={8010/8020/8030}.abc-example.com – 該当するサーバーブロックのみをセキュア化します。

  4. CN=*.abc-example.comおよびSAN=*.mail.abc-example.com – すべてのサーバーブロックをセキュア化します。

Apache

自動化リクエストが届くと、サーバーはそのリクエストで使用されているCNまたはSANに基づいて一致する<VirtualHost>ブロックを探します。

Apacheは、ServerNameServerAliasをリクエスト内にあるCNまたはSANと比較します。

一連の仮想ホストで一致するServerNameまたはServerAliasが見つかると、一致するすべての仮想ホストブロックがセキュア化されます。

例:

Listen 551
<VirtualHost 125.125.125.125:551>
ServerName 551.abc-example.com
ServerAlias *.mail.abc-example.com
</VirtualHost>

Listen 552
<VirtualHost 125.125.125.125:552>
ServerName 552.abc-example.com 
ServerAlias *.abc-example.com 
</VirtualHost>

Listen 553
<VirtualHost 125.125.125.125:553>
ServerName 553.abc-example.com
ServerAlias *.abc-example.com  securemail.abc-example.com
</VirtualHost>

上記の例では、自動化のリクエストで以下が行われます。

  1. CN=*.abc-example.com – ポート552と553の仮想ホストブロックの両方をセキュア化します。

  2. CN=*.mail.abc-example.com – ポート551の仮想ホストブロックのみをセキュア化します。

  3. CN={551/552/553}.abc-example.com – 該当する仮想ホストブロックのみをセキュア化します。

  4. CN=*.abc-example.comおよびSAN=*.mail.abc-example.com – すべての仮想ホストブロックをセキュア化します。

IIS

IISサーバーは、自動化リクエストで使用されている一致するCNまたはSANを探しません。証明書は、リクエストされたIPアドレスとポートのみにインストールされます。

例:

IP/Port: 123.123.123.123: 401
Common name: *.example.com

IP/Port: 125.125.125.125: 402
Common name: *.abc.example.com
SANs: *.mail.example.com

IP/Port: 127.127.127.127: 403
Common name: *secure.example.com
SANs: *.example.com

上記の例では、自動化のリクエストで以下が行われます。

  1. IP/ポート=123.123.123.123:401、CN=*.example.com – 123.123.123.123401IPアドレスとポートのみをセキュア化します。

  2. IP/ポート=125.125.125.125:402、CN=*.example.com、SAN=*.mail.example.com – 125.125.125.125402IPアドレスとポートのみをセキュア化します。

  3. IP/ポート=127.127.127.127:403、CN=*secure.example.com, SAN=*.example.com — 127.127.127.127403IPアドレスとポートのみをセキュア化します。

Tomcat

自動化リクエストが届くと、サーバーはそのリクエストで使用されているCNおよび/またはSANに基づいて一致する<Connector>ブロックを探します。

Tomcatは、server_nameをリクエスト内にあるCNおよび/またはSANと比較します。

一連のコネクタブロックで一致するSSLHostConfigホスト名が見つかると、一致するすべてのブロックがセキュア化されます。

例:

http to https Automation

<Connector port="182" SSLEnabled="false" defaultSSLHostConfigName="*.abc.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.abc.example.com">  </SSLHostConfig>
    </Connector>

<Connector port="183" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.mail.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    </Connector>

<Connector port="184" SSLEnabled="false" defaultSSLHostConfigName="*.secure.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.secure.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.login.example.com">  </SSLHostConfig>
    </Connector>

上記の例では、自動化のリクエストで以下が行われます。

<Connector port="8082" connectionTimeout="20000" protocol="HTTP/1.1" defaultSSLHostConfigName="*.avp.cert-testing.com" 
SSLEnabled="true">                   
    <SSLHostConfig hostName="*.avp.cert-testing.com">      
    <Certificate
     certificateKeyFile="C:\Certbot\-v1ItahTQMXDj5mWSECcn7o182xIChVEwGzsznbccjk\live\avp.cert-testing.com\privkey.pem"
     certificateFile="C:\Certbot\-v1ItahTQMXDj5mWSECcn7o182xIChVEwGzsznbccjk\live\avp.cert-testing.com\cert.pem"
     type="RSA"/>
     </SSLHostConfig>
</Connector>

In the above examples, when you request automation for:

  1. CN=*.abc.example.com – ポート182のコネクタブロックのみをセキュア化します。

  2. CN=*.example.com – ポート183のコネクタブロックのみをセキュア化します。

  3. CN=*example.com – すべてのコネクタブロックをセキュア化します。

  4. CN=*.secure.example.comおよびSAN=*.secure.example.com、*.blog.example.com、abc.example.com、*.login.example.com – ポート184のコネクタブロックのみをセキュア化します。

注記

自動化を正常に行うには、コネクタ内のすべてのSSLHostConfigブロックに証明書がインストールされている必要があります。

CN=*.example.comおよびSAN=*.mail.test.comを使用して自動化をリクエストする必要があります。

<Connector port="123" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.mail.test.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    </Connector>

IBM

自動化リクエストが届くと、サーバーはそのリクエストで使用されているCNまたはSANに基づいて一致する<VirtualHost>ブロックを探します。

IBMサーバーは、ServerNameServerAliasをリクエスト内にあるCNまたはSANと比較します。

一連の仮想ホストで一致するServerNameまたはServerAliasが見つかると、一致するすべての仮想ホストブロックがセキュア化されます。

例:

Listen 125.125.125.125:551
<VirtualHost 125.125.125.125:551>
ServerName 551.abc-example.com
ServerAlias *.mail.abc-example.com
</VirtualHost>

Listen 125.125.125.125:552
<VirtualHost 125.125.125.125:552>
ServerName 552.abc-example.com 
ServerAlias *.abc-example.com 
</VirtualHost>

Listen 125.125.125.125:553
<VirtualHost 125.125.125.125:553>
ServerName 553.abc-example.com
ServerAlias *.abc-example.com securemail.abc-example.com
</VirtualHost>

上記の例では、自動化のリクエストで以下が行われます。

  1. CN=*.abc-example.com – ポート552と553の仮想ホストブロックの両方をセキュア化します。

  2. CN=*.mail.abc-example.com – ポート551の仮想ホストブロックのみをセキュア化します。

  3. CN={551/552/553}.abc-example.com – 該当する仮想ホストブロックのみをセキュア化します。

  4. CN=*.abc-example.comおよびSAN=*.mail.abc-example.com – すべての仮想ホストブロックをセキュア化します。

  5. CN=551.abc-example.comおよびSAN=securemail.abc.com – ポート551と553の仮想ホストブロックのみをセキュア化します。