(2017/4/15 ValueSSLではマルチドメインかつワイルドカードの証明書を発行可能)
(2018/4/7 GeoTrustでもマルチドメインかつワイルドカードの証明書を発行可能)
HTTPS(SSL)を実装する際には証明書の検討も必要となる。多くのサイトを公開する場合にはFQDNが多数となるが、ワイルドカード証明書、マルチドメイン(SANs)証明書を使用することで証明書の数を削減することができる。
さらなる効率化として、マルチドメインかつワイルドカードの組合せ証明書は発行することができないのか確認する。
認証局(CA)/証明書発行機関の説明
SSLサーバ証明書を発行する各種認証局、証明書発行機関ではそれぞれ、マルチドメイン(SANs)証明書・ワイルドカード証明書についての説明がされている。しかし、タイトルの通り「マルチドメインかつワイルドカードの証明書は発行できない」という明記は見当たらない。ただ、記載の組合せで発行できないことが分かる。
Cybertrust
マルチドメイン証明書 SureServer Prime MD / SureServer EV Prime MD | SSL/TLS サーバー証明書 SureServer | サイバートラスト
マルチドメイン証明書でSANsを追加する手順が記載されている。使用可能文字は以下の通り。
- 半角英数字(a〜z, A〜Z, 0〜9)
- - (ハイフン)
- . (ピリオド)
ここにワイルドカード * (アスタリスク)は含まれていない。マルチドメイン証明書にワイルドカードを組み合わせることはできない。
GeoTrust
各証明書のサポート範囲が記載されている。これらもSANとしてFQDNを追加できるが、ワイルドカードは含まれない。
| CN:geotrust.co.jp | クイックSSLプレミアム 4 サブドメインパック | クイックSSLプレミアム ワイルドカード |
|---|---|---|
| SANs: | ||
| abc.geotrust.co.jp | ○ | ○ |
| abc1.geotrust.co.jp | ○ | ○ |
| abc.abc.geotrust.co.jp | ○ | × *部分と違う階層のため |
| abc.abc.abc.geotrust.co.jp | ○ | × *部分と違う階層のため |
| abc.abc.abc.symantec.com | × 別ドメインのため | × 別ドメインのため |
(2018/4/7追記) コメント参照。マルチドメインかつワイルドカードの証明書を発行できる事例あり。
ValueSSL
安価で個人でも取得がしやすいValueSSLのFAQより。
| 項目 | マルチドメインSSL証明書 | ワイルドカードSSL証明書 |
|---|---|---|
| CSRのコモンネーム | (例1)yourdomain.com (例2)ssl.yourdomain.com |
(例1)*.yourdomain.com (例2)*.ssl.yourdomain.com |
| 注意点 | FQDN(完全修飾ドメイン名)を指定する | FQDN(完全修飾ドメイン名)の頭に「*. 」をつけて指定する |
注意事項に記載されている通り、マルチドメイン証明書の場合はFQDNを指定する必要があるため、*の指定はできない。
ValueSSL訂正 発行可能
(2017/4/15追記)実績を紹介いただき追記しました。
ValueSSLでは、SANsとして登録するドメインに対してワイルドカードでの登録ができる。
| SANsに設定できる例 | 説明 |
|---|---|
| www2.yourdomain.co.jp | サブドメイン名 |
| secondaname.com | 別ドメイン名 |
| ssl001.shopsite.secondaname.com | 多階層のサブドメイン名 |
| *.yourdomain.co.jp | ワイルドカード |
ワイルドカード証明書使用時のSANs
一般的な証明機関では、ワイルドカード証明書を発行する際に以下のように*.階層のサブドメインを含まないSANが登録される。
申請: *.example.com
CN: *.example.com
SAN: example.com
技術的には可能
こちらの議論では、マルチドメインかつワイルドカード証明書は、技術的には可能、しかしCAのポリシーにより発行されない、と結論づいている。
まとめ - マルチドメインかつワイルドカードの証明書は発行できない
マルチドメインかつワイルドカード証明書は、技術的には可能だが、認証局のポリシーにより発行されない場合がある。日本国内の認証局は発行可否を問い合わせることを推奨する。説明を確認しても、やはり、マルチドメインかつワイルドカードの証明書は発行できないことがわかる。(ValueSSL, GeoTrustは発行実績あり)
