内部名

関連警告

"証明書のコモンネームまたはサブジェクトの別名に内部名が含まれています。"

問題

業界基準では、認証局 (CA) が内部名に証明書を発行することを禁止しています (「内部サーバー名の SSL 証明書」を参照してください)。内部名とは、プライベートネットワークの一部である IP アドレスまたはドメインです (「RFC 2606」を参照してください)。内部名は、外部確認できないため、それでは認証を完了できません。

内部名の例

  • 以下のような非パブリックドメインサフィックスのいずれかが入ったサーバー名:
    • .test
    • .example
    • .invalid
    • .localhost
    • .local
    • .internal
  • NetBIOS 名や短いホスト名、例えば、Web1、ExchCAS1、あるいは Frodo など、パブリックドメインのないもの
  • RFC 1918 レンジの IPv4 アドレス
  • RFC 4193 レンジの IPv6 アドレス

また、一意ではない内部名は、悪意ある誤用の発生可能性が多分にあります。例えば、CA は、https://mail/ について、会社にパブリックトラスト証明書を発行することができます。この名前は一意の名前ではないため、他者が https://mail/ で証明書を取得することができます。

ソリューション

お客様が内部名を使用するサーバー管理者である場合、それらのサーバーを再構成してパブリック名を使用するか、内部認証局が発行した証明書に切り替えます。パブリックトラスト証明書が必要なすべての内部接続は、公開され検証可能な名前から行う必要があります(それらのサービスが一般アクセス可能かどうかは関係ありません)。

お客様の環境にあるアプリケーションによって異なりますが、アプリケーションに内部名が必要にならないように再構成することができる場合があります。