web-dev-qa-db-ja.com

複数のサブドメインのSSL証明書を作成するにはどうすればよいですか?

サブドメイン「a.myserver.net」と「b.myserver.net」を持つサーバー「myserver.net」を実行しています。

(自己署名)SSL証明書を作成するとき、サブドメインは単なるvhostsですが、FQDNを含むすべてのサブドメインに1つ作成する必要があります。

OpenSSLは、問題のドメインである「共通名」を1つだけ許可します。ドメインのすべてのサブドメインに有効な証明書を作成する可能性はありますか?

20
polemon

はい、*。myserver.netを共通名として使用します。

これはワイルドカード証明書と呼ばれ、このキーワードで多数のハウツーが見つかります。

ここにそれらの1つがあります: https://web.archive.org/web/20140228063914/http://www.justinsamuel.com/2006/03/11/howto-create-a -self-signed-wildcard-ssl-certificate

更新:証明書をルートドメイン(myserver.net)にも一致させる場合は、サブジェクトの別名拡張を使用する必要があります。 opensshを使用して証明書を生成する場合、共通名として「* .myserver.net/CN = myserver.net」と入力します。

互換性があります 十分に良いです 、ただし、古いブラウザを使用している場合を除きます。

27
rvs

参考までに、統合コミュニケーション証明書と呼ばれる別の種類の証明書があります。ワイルドカードは*.domain.comに対してのみ発行できますが、UCC証明書を使用すると、任意のドメインで最大100個の完全修飾ドメイン名(FQDN)をリストできます。これらのいずれかを取得する主な理由は、MicrosoftがMSドメインコントローラーやExchangeなどのワイルドカードにあまり熱心でないことです。

https://www.godaddy.com/help/what-is-a-multiple-domain-ucc-ssl-certificate-3908

ユニファイドコミュニケーション証明書(UCC)は、ドメイン名内の複数のドメイン名と複数のホスト名を保護するSSL証明書です。 UCCを使用すると、1つの証明書でプライマリドメイン名と最大99の追加サブジェクト代替名(SAN)を保護できます。 UCCは、Microsoft®Exchange Server 2007、Exchange Server 2010、およびMicrosoftLive®Communications Serverに最適です。

UCCは共有ホスティングと互換性があります。ただし、サイトシールと証明書の「発行先」情報には、プライマリドメイン名のみが表示されます。セカンダリホスティングアカウントも証明書にリストされるため、サイトが互いに「接続されている」ように見せたくない場合は、このタイプの証明書を使用しないでください。

UCCの主な欠点は、すべてのドメインを前にリストする必要があることです(ワイルドカードはこれを必要としません)。リストが変更される場合は、新しい証明書を取得する必要があります。ちなみに、Namecheap(私が知っている唯一の方法)は Extended Validation UCC (100ドメインの証明書は非常に高価であることを意味するドメインごとに支払う)を提供します。これは、誰もEVワイルドカードを提供していないため、複数のドメインのEV証明書。

1
Machavity