web-dev-qa-db-ja.com

サブジェクト代替名でSSL証明書を設定する方法

特定の組み込みクライアントをテストするには、「main.mysite.com」と「alternate.mysite.com」など、いくつかのSSL(HTTPS)サイトにサービスを提供するWebサーバーをセットアップする必要があります。これらは、サブジェクト名が「main.mysite.com」でサブジェクト代替名が「alternate.mysite.com」の同じ証明書で処理する必要があります。この証明書は、「適切な」CA(コストを抑えるために、GoDaddyなど)に戻る権限チェーンに含まれている必要があります。

私の質問は、これを行う方法についての良いチュートリアルはありますか、または誰かがプロセスを説明できますか? CAプロバイダーからどのような種類の親証明書を購入する必要がありますか?

SSL証明書についての私の理解は限られていますが、マヌエルがフォルティタワーズで言ったように、「私は学びます...」。

Windows(IIS)またはLinux(Apache)(さらに言えばOSX)で作業できてうれしいです。

前もって感謝します。

4
Darren Oster

チュートリアルはここにあります:

http://www.sslshopper.com/article-ssl-Host-headers-in-iis-7.html

http://www.sslshopper.com/article-how-to-configure-ssl-Host-headers-in-iis-6.html

親証明書について心配する必要はありません。信頼できるプロバイダー(GoDaddyなど)から、保護する必要のあるすべての名前の証明書を取得し、それらのチュートリアルに従って、SSL証明書を使用するように各サイトを設定するだけです。

3
Robert

(例としてGodaddyを使用)

まず第一に、「マルチドメイン」CSRを生成する必要はありません。単一のSSL証明書を登録する場合と同じように、プライマリドメインに配置する必要があります。

Godaddyでは、CSRを入力すると、New Subject Alt Nameの下にフィールドがあります。特に目立つようにはしていませんが、CSRテキストフィールドのすぐ下にあります。そこに好きな名前を追加できます。

必要なすべてのドメイン名がわからない場合は、後でそれらを追加してから、証明書を再発行できます。

http://support.godaddy.com/help/article/4649/adding-or-dropping-subject-alternative-names-from-ucc-certificates

このために新しいCSRを作成する必要はありません。証明書を再発行するだけで、IISを介してすぐに置き換える必要があります。

私が見つけた小さな落とし穴の1つは、特定のドメインを追加しようとしても許可されないことでした。これは、ドメインが別のgodaddyアカウントによって制御されているためだと確信していますが、通常のgodaddyの方法では、エラーは発生しませんでした。ドメインが複数のアカウントにまたがっているときにUCC証明書を作成しようとすると、これが問題になる可能性があります。

1
Simon