ワイルドカード SSL 証明書は、同じドメイン名内で複数のサブドメインを確保しようとする場合のオプションと考えられています。これらの証明書は、ドメイン名フィールドにワイルdカード文字 (*) を使用して、同じベースドメインにリンクされた多数のサブドメイン(ホスト)を確保します。
ワイルドカード証明書のコモンネームは常に、アスタリスクとドット (*.) ではじまります。
*.(domainname).com
例えば、 *.domain.com に発行されたスタンダードワイルカード証明書は、www.domain.com、mail.domain.com、info.domain.com などを安全確保しますが、mail.test.com は安全確保しません。
サブジェクトの別名 (SAN) は、ワイルドカードドメイン (例えば、*.yourdomain.com) か、またはリストに表示されたワイルドカードドメインに基づいている必要があります。ワイルドカードドメインの1つが *.example.com である場合、www.example.com または www.app.example.com は使用できますが、mail.secure.com は使用できません。両方のドメインを安全確保するグローバル・サーバ ID SSL 証明書の例外。
デフォルトでは、要求された証明書は、すべての適合ドメインにインストールされると想定されています。ただし、すべての DigiCert サポートされたウェブサーバでは、一部のルールで、証明書を適格ドメイン上でのみインストールする必要があると規定されています。
自動化要求が到着した場合、サーバは、要求で使用する CN または SAN に基づく適合サーバブロックを探します。
Nginx は server_name を、要求中にある CN または SAN と比較します。
適合 server_name がサーバブロック群中に見つかった場合、適合するすべてのサーバブロックは安全確保されます。
例えば:
server {
server_name 8010.abc-example.com *.abc-example.com;
listen 123.123.123.123:8010 ;
}
server {
server_name 8020.abc-example.com *.mail.abc-example.com ;
listen 123.123.123.123:8020 ;
}
server {
server_name 8030.abc-example.com *.abc-example.com ;
listen 123.123.123.123:8030 ;
}
上の例では、以下について自動化を要求する場合:
自動化要求が到着した場合、サーバは、要求中で使用した CN または SAN に基づき適合 <VirtualHost> ブロックを探します。
Apache は ServerName と ServerAlias を要求中にある CN または SAN と比較します。
適合 ServerName または ServerAlias が仮想ホスト群に見つかった場合、適合するすべての仮想ホストブロックは安全確保されます。
例えば:
Listen 551
<VirtualHost 125.125.125.125:551>
ServerName 551.abc-example.com
ServerAlias *.mail.abc-example.com
</VirtualHost>
Listen 552
<VirtualHost 125.125.125.125:552>
ServerName 552.abc-example.com
ServerAlias *.abc-example.com
</VirtualHost>
Listen 553
<VirtualHost 125.125.125.125:553>
ServerName 553.abc-example.com
ServerAlias *.abc-example.com securemail.abc-example.com
</VirtualHost>
上の例では、以下について自動化を要求する場合:
IIS サーバは、自動化要求で使用した適合 CN または SAN は探しません。証明書は、要求された IP アドレスとポートのみにインストールされます。
例えば:
IP/Port: 123.123.123.123: 401
Common name: *.example.com
IP/Port: 125.125.125.125: 402
Common name: *.abc.example.com
SANs: *.mail.example.com
IP/Port: 127.127.127.127: 403
Common name: *secure.example.com
SANs: *.example.com
上の例では、以下について自動化を要求する場合:
自動化要求が到着した場合、サーバは、要求中で使用した CN および/または SAN に基づき適合 <コネクタ> ブロックを探します。
Tomcat は SSLHostConfig hostName を、要求中にある CN および/または SAN と比較します。
適合 SSLHostConfig Hostname がコネクタブロック中に見つかった場合、適合するすべてのサーバブロックは安全確保されます。
例えば:
<Connector port="182" SSLEnabled="false" defaultSSLHostConfigName="*.abc.example.com" connectionTimeout="20000">
<SSLHostConfig hostName="*.abc.example.com"> </SSLHostConfig>
</Connector>
<Connector port="183" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
<SSLHostConfig hostName="*.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.mail.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="abc.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.blog.example.com"> </SSLHostConfig>
</Connector>
<Connector port="184" SSLEnabled="false" defaultSSLHostConfigName="*.secure.example.com" connectionTimeout="20000">
<SSLHostConfig hostName="*.secure.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.blog.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="abc.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.login.example.com"> </SSLHostConfig>
</Connector>
上の例では、以下について自動化を要求する場合:
自動化が成功するには、コネクタ内のすべての SSLHostConfig ブロックに証明書をインストールする必要があります。
例えば、証明書をすべての SSLHostConfig ブロックで正常に自動化およびインストールするには、以下について自動化要求を行う必要があります。
CN=*.example.com と SAN=*.mail.test.com
<Connector port="123" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
<SSLHostConfig hostName="*.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.mail.test.com"> </SSLHostConfig>
<SSLHostConfig hostName="abc.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.blog.example.com"> </SSLHostConfig>
</Connector>
自動化要求が到着した場合、サーバは、要求中で使用した CN または SAN に基づき適合 <VirtualHost> ブロックを探します。
IBM サーバは、ServerName と ServerAlias を要求中にある CN または SAN と比較します。
適合 ServerName または ServerAlias が仮想ホスト群に見つかった場合、適合するすべての仮想ホストブロックは安全確保されます。
例えば:
Listen 125.125.125.125:551
<VirtualHost 125.125.125.125:551>
ServerName 551.abc-example.com
ServerAlias *.mail.abc-example.com
</VirtualHost>
Listen 125.125.125.125:552
<VirtualHost 125.125.125.125:552>
ServerName 552.abc-example.com
ServerAlias *.abc-example.com
</VirtualHost>
Listen 125.125.125.125:553
<VirtualHost 125.125.125.125:553>
ServerName 553.abc-example.com
ServerAlias *.abc-example.com securemail.abc-example.com
</VirtualHost>
上の例では、以下について自動化を要求する場合: