ワイルドカード証明書 (CN) のコモンネーム

ワイルドカード SSL 証明書は、同じドメイン名内で複数のサブドメインを確保しようとする場合のオプションと考えられています。これらの証明書は、ドメイン名フィールドにワイルdカード文字 (*) を使用して、同じベースドメインにリンクされた多数のサブドメイン(ホスト)を確保します。

ワイルドカード証明書のコモンネームは常に、アスタリスクとドット (*.) ではじまります。

*.(domainname).com

例えば、 *.domain.com に発行されたスタンダードワイルカード証明書は、www.domain.com、mail.domain.com、info.domain.com などを安全確保しますが、mail.test.com は安全確保しません。

サブジェクトの別名 (SAN) は、ワイルドカードドメイン (例えば、*.yourdomain.com) か、またはリストに表示されたワイルドカードドメインに基づいている必要があります。ワイルドカードドメインの1つが *.example.com である場合、www.example.com または www.app.example.com は使用できますが、mail.secure.com は使用できません。両方のドメインを安全確保するグローバル・サーバ ID SSL 証明書の例外。

CN に基づくウェブブラウザ上の証明書のインストール。

デフォルトでは、要求された証明書は、すべての適合ドメインにインストールされると想定されています。ただし、すべての DigiCert サポートされたウェブサーバでは、一部のルールで、証明書を適格ドメイン上でのみインストールする必要があると規定されています。

Nginx

自動化要求が到着した場合、サーバは、要求で使用する CN または SAN に基づく適合サーバブロックを探します。

Nginx は server_name を、要求中にある CN または SAN と比較します。

適合 server_name がサーバブロック群中に見つかった場合、適合するすべてのサーバブロックは安全確保されます。

例えば:

generic 
server {
        server_name 8010.abc-example.com *.abc-example.com;
        listen 123.123.123.123:8010 ;
}

server {
        server_name   8020.abc-example.com *.mail.abc-example.com ;
       listen 123.123.123.123:8020 ;
}
server {
        server_name   8030.abc-example.com *.abc-example.com ;
       listen 123.123.123.123:8030 ;
}

上の例では、以下について自動化を要求する場合:

  1. CN=*.abc-example.com – ポート 8010 と 8030 サーバブロックの両方を安全確保します。
  2. CN=*.mail.abc-example.com – ポート 8020 サーバブロックのみ安全確保します。
  3. CN={8010/8020/8030}.abc-example.com – 各サーバブロックのみ安全確保します。
  4. CN=*.abc-example.com と SAN=*.mail.abc-example.com – すべてのサーバブロックを安全確保します。

Apache

自動化要求が到着した場合、サーバは、要求中で使用した CN または SAN に基づき適合 <VirtualHost> ブロックを探します。

Apache は ServerNameServerAlias を要求中にある CN または SAN と比較します。

適合 ServerName または ServerAlias が仮想ホスト群に見つかった場合、適合するすべての仮想ホストブロックは安全確保されます。

例えば:

generic 
Listen 551
<VirtualHost 125.125.125.125:551>
ServerName 551.abc-example.com
ServerAlias *.mail.abc-example.com
</VirtualHost>

Listen 552
<VirtualHost 125.125.125.125:552>
ServerName 552.abc-example.com 
ServerAlias *.abc-example.com 
</VirtualHost>

Listen 553
<VirtualHost 125.125.125.125:553>
ServerName 553.abc-example.com
ServerAlias *.abc-example.com  securemail.abc-example.com
</VirtualHost>

上の例では、以下について自動化を要求する場合:

  1. CN=*.abc-example.com – ポート 552 と 553 仮想ホストブロックの両方が安全確保されます。
  2. CN=*.mail.abc-example.com – ポート 551 仮想ホストブロックのみ安全確保されます。
  3. CN={551/552/553}.abc-example.com – 各仮想ホストブロックのみ安全確保されます。
  4. CN=*.abc-example.com と SAN=*.mail.abc-example.com – すべての仮想ホストブロックが安全確保されます。

IIS

IIS サーバは、自動化要求で使用した適合 CN または SAN は探しません。証明書は、要求された IP アドレスとポートのみにインストールされます。

例えば:

generic 
IP/Port: 123.123.123.123: 401
Common name: *.example.com

IP/Port: 125.125.125.125: 402
Common name: *.abc.example.com
SANs: *.mail.example.com

IP/Port: 127.127.127.127: 403
Common name: *secure.example.com
SANs: *.example.com

上の例では、以下について自動化を要求する場合:

  1. IP/ポート=123.123.123.123:401、CN=*.example.com – 123.123.123.123 のみ安全確保されます。401 IP アドレスとポート。
  2. IP/ポート=125.125.125.125:402、CN=*.example.com、SAN=*.mail.example.com – 125.125.125.125 のみ安全確保されます。402 IP アドレスとポート。
  3. IP/ポート=127.127.127.127:403、CN=*secure.example.com, SAN=*.example.com — 127.127.127.127 のみ安全確保されます。403 IP アドレスとポート。

Tomcat

自動化要求が到着した場合、サーバは、要求中で使用した CN および/または SAN に基づき適合 <コネクタ> ブロックを探します。

Tomcat は SSLHostConfig hostName を、要求中にある CN および/または SAN と比較します。

適合 SSLHostConfig Hostname がコネクタブロック中に見つかった場合、適合するすべてのサーバブロックは安全確保されます。

例えば:

generic 
<Connector port="182" SSLEnabled="false" defaultSSLHostConfigName="*.abc.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.abc.example.com">  </SSLHostConfig>
    </Connector>

<Connector port="183" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.mail.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    </Connector>

<Connector port="184" SSLEnabled="false" defaultSSLHostConfigName="*.secure.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.secure.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.login.example.com">  </SSLHostConfig>
    </Connector>

上の例では、以下について自動化を要求する場合:

  1. CN=*.abc.example.com – ポート 182 コネクタブロックを安全確保します。
  2. CN=*.example.com – ポート 183 コネクタブロックのみ安全確保します。.
  3. CN=*example.com – すべてのコネクタブロックを安全確保します。
  4. CN=*.secure.example.com と SAN=*.secure.example.com、*.blog.example.com、abc.example.com、*.login.example.com – ポート 184 コネクタブロックのみ安全確保します。

自動化が成功するには、コネクタ内のすべての SSLHostConfig ブロックに証明書をインストールする必要があります。

例えば、証明書をすべての SSLHostConfig ブロックで正常に自動化およびインストールするには、以下について自動化要求を行う必要があります。

CN=*.example.com と SAN=*.mail.test.com

generic 
<Connector port="123" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.mail.test.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    </Connector>

IBM

自動化要求が到着した場合、サーバは、要求中で使用した CN または SAN に基づき適合 <VirtualHost> ブロックを探します。

IBM サーバは、ServerNameServerAlias を要求中にある CN または SAN と比較します。

適合 ServerName または ServerAlias が仮想ホスト群に見つかった場合、適合するすべての仮想ホストブロックは安全確保されます。

例えば:

generic 
Listen 125.125.125.125:551
<VirtualHost 125.125.125.125:551>
ServerName 551.abc-example.com
ServerAlias *.mail.abc-example.com
</VirtualHost>

Listen 125.125.125.125:552
<VirtualHost 125.125.125.125:552>
ServerName 552.abc-example.com 
ServerAlias *.abc-example.com 
</VirtualHost>

Listen 125.125.125.125:553
<VirtualHost 125.125.125.125:553>
ServerName 553.abc-example.com
ServerAlias *.abc-example.com securemail.abc-example.com
</VirtualHost>

上の例では、以下について自動化を要求する場合:

  1. CN=*.abc-example.com –  ポート 552 と 553 仮想 ホスト ブロックを両方とも安全確保します。
  2. CN=*.mail.abc-example.com – ポート 551 仮想ホストブロックのみ安全確保されます。
  3. CN={551/552/553}.abc-example.com – 各仮想ホストブロックのみ安全確保されます。
  4. CN=*.abc-example.com と SAN=*.mail.abc-example.com – すべての仮想ホストブロックが安全確保されます。
  5. CN=551.abc-example.com と SAN=securemail.abc.com – ポート 551 と 553 仮想ホストブロックのみ安全保護します。

案内

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.