読者です 読者をやめる 読者になる 読者になる

designetwork

ネットワークを軸としたIT技術メモ

マルチドメインかつワイルドカードの証明書は発行できない

ネットワーク設計

f:id:daichi703n:20170217014705p:plain

(2017/4/15 ValueSSLではマルチドメインかつワイルドカードの証明書を発行可能)

HTTPS(SSL)を実装する際には証明書の検討も必要となる。多くのサイトを公開する場合にはFQDNが多数となるが、ワイルドカード証明書、マルチドメイン(SANs)証明書を使用することで証明書の数を削減することができる。

さらなる効率化として、マルチドメインかつワイルドカードの組合せ証明書は発行することができないのか確認する。

認証局(CA)/証明書発行機関の説明

SSLサーバ証明書を発行する各種認証局、証明書発行機関ではそれぞれ、マルチドメイン(SANs)証明書・ワイルドカード証明書についての説明がされている。しかし、タイトルの通り「マルチドメインかつワイルドカードの証明書は発行できない」という明記は見当たらない。ただ、記載の組合せで発行できないことが分かる。

Cybertrust

SureServer MD|Cybertrust.ne.jp

マルチドメイン証明書でSANsを追加する手順が記載されている。使用可能文字は以下の通り。

  • 半角英数字(a〜z, A〜Z, 0〜9)
  • - (ハイフン)
  • . (ピリオド)

ここにワイルドカード * (アスタリスク)は含まれていない。マルチドメイン証明書にワイルドカードを組み合わせることはできない。

GeoTrust

www.geotrust.co.jp

各証明書のサポート範囲が記載されている。これらもSANとしてFQDNを追加できるが、ワイルドカードは含まれない。

CN:geotrust.co.jp クイックSSLプレミアム 4 サブドメインパック クイックSSLプレミアム ワイルドカード
SANs:
abc.geotrust.co.jp
abc1.geotrust.co.jp
abc.abc.geotrust.co.jp × *部分と違う階層のため
abc.abc.abc.geotrust.co.jp × *部分と違う階層のため
abc.abc.abc.symantec.com × 別ドメインのため × 別ドメインのため

ValueSSL

ワイルドカード証明書について « ValueSSLサポート

安価で個人でも取得がしやすいValueSSLのFAQより。

項目 マルチドメインSSL証明書 ワイルドカードSSL証明書
CSRのコモンネーム (例1)yourdomain.com 
(例2)ssl.yourdomain.com
(例1)*.yourdomain.com
(例2)*.ssl.yourdomain.com
注意点 FQDN(完全修飾ドメイン名)を指定する FQDN(完全修飾ドメイン名)の頭に「*. 」をつけて指定する

注意事項に記載されている通り、マルチドメイン証明書の場合はFQDNを指定する必要があるため、*の指定はできない。

ValueSSL訂正 発行可能

(2017/4/15追記)実績を紹介いただき追記しました。

ValueSSLでは、SANsとして登録するドメインに対してワイルドカードでの登録ができる。

SANsに設定できる例 説明
www2.yourdomain.co.jp サブドメイン
secondaname.com ドメイン
ssl001.shopsite.secondaname.com 多階層のサブドメイン
*.yourdomain.co.jp ワイルドカード

ワイルドカード証明書使用時のSANs

一般的な証明機関では、ワイルドカード証明書を発行する際に以下のように*.階層のサブドメインを含まないSANが登録される。

申請: *.example.com
CN: *.example.com
SAN: example.com

技術的には可能

こちらの議論では、マルチドメインかつワイルドカード証明書は、技術的には可能、しかしCAのポリシーにより発行されない、と結論づいている。

stackoverflow.com

まとめ - マルチドメインかつワイルドカードの証明書は発行できない

マルチドメインかつワイルドカード証明書は、技術的には可能だが、認証局のポリシーにより発行されない。日本国内の認証局の説明を確認しても、やはり、マルチドメインかつワイルドカードの証明書は発行できないことがわかる。(ValueSSLを除く)