web-dev-qa-db-ja.com

SSLセットアップ:UCCまたはワイルドカード証明書?

私はSSLの質問に対する明確で簡潔な答えを求めてウェブを精査しましたが、役に立ちませんでした。だからここに行きます:

認証ページにSSLサポートを必要とするWebサービスがあります。ルートレベルドメインには「www」(つまり、secure://domain.com)がありませんが、ローカライズされたページは「language-code.domain.com」(つまり、secure://ja.domain.com)を使用します。

したがって、少なくともsecure://*.domain.comをサポートするワイルドカードSSL証明書が必要です。

ただし、sandbox.domain.comにはパブリックサンドボックス環境もあり、ローカライズされたドメインでもサポートする必要があるため、secure://ja.sandbox.domain.comも機能する必要があります。

前の管理者はなんとか。domain.comのワイルドカードSSL証明書を購入しましたが、「domain.com」のサブジェクト代替名を使用しました。したがって、SANが次のように定義されたワイルドカード証明書を取得しようと考えています。 「domain.com」および「。*。domain.com」。

しかし、UCC証明書とも呼ばれる別個のSAN証明書があるように見えるため、今は混乱しています。

追加のSANフィールドを含むワイルドカード証明書を取得できるかどうか、そして最終的にはサポートするのに最適な方法を誰かが明確にできますか?

secure://domain.com secure:// 。domain.com secure://。*。domain.com

sSL証明書の数が最も少ない(そして最も安い!)のですか?

ありがとう!

5
user41426

まず、SAN証明書= UCC証明書。どちらもSubjectAltNameフィールドを持つ単なる証明書です。

次に、。domain.comのワイルドカードはほとんどのブラウザで機能しません。 2つのワイルドカード証明書(1つは* .sandbox.domain.com用、もう1つは* .domain.com用)を取得するか、*。domain.comのワイルドカード証明書を取得して、SSLプロバイダーにjaの特定のSubjectAltNameを設定させる必要があります。 .sandbox.domain.com。 DigiCertとGlobalSignがこれを提供していると思います。

6
Robert

http://ssl.com によると、UCC証明書とワイルドカード証明書を組み合わせることは技術的には間違いなく可能です。基本的に、ワイルドカードを含む1つのサブジェクト代替名を持つUCC証明書を使用することをお勧めします:*。domain.com-UCCにワイルドカードを含めるには、追加料金が必要になることに注意してください。

無制限のサブドメインをカバーするには、共通名フィールドにワイルドカードドメイン(つまり* .sitename.com)を作成するか、UCCを購入するときにSAN(サブジェクト代替名)として)を作成します... * .sub1.sitename.comなどのSANフィールドに他のワイルドカードを入れることもできます

UCCを購入する(または作成する)ときに、共通名フィールドにワイルドカードドメイン(つまり、*。sitename.com)を作成するか、SANS(サブジェクト代替名)として作成するだけです。ほとんどのCAは、各ワイルドカードドメインを標準のワイルドカード証明書として請求します。

たとえば、Comodoは、UCC証明書を購入する際に次のように述べています。

ワイルドカードドメインは、ドメインごとに399.00ドルの追加料金でUCCに追加できます。

Let's Encrypt

http://LetsEncrypt.com ディスカッション掲示板をフォローすると、この機能は2015年後半に利用可能になったときにも含まれる可能性があるようです。

1
Daniel

覚えておくべき主なこと:

  • UCC/SANには、多数のエントリを含めることができます(一部の認証局では最大2000)。
  • ほとんどのCAのUCCは、実際にワイルドカードを組み込むことができます(IIRC GoDaddyではUCCにワイルドカードを使用できません)
  • UCCに追加されたワイルドカードには料金がかかりますが、個別のワイルドカード証明書よりも安い場合があります(たとえば、 ssl.com スタンドアロンのワイルドカードの場合は299米ドル、UCCに含まれるワイルドカードの場合は258米ドル)
  • ほとんどのCAでは、ドメインを追加/削除/変更する必要がある場合、その証明書の存続期間中にUCCエントリを切り取って変更(別名「証明書を再発行」)できます。通常、これには追加料金はかかりません(YMMV --SSL.com/Comodo/namecheapは無料の再発行を提供し、GoDaddyは名前を追加するために新しいUCCを購入することを望んでいます)

したがって、それは多くの要因に依存しますが、すべてのドメイン名(ワイルドカードを含む)を含む1つのUCCは、多数の異なる証明書よりも優れたソリューション/管理が容易な場合があります。

(また、参考までに-Let's Encryptは ワイルドカードを処理するように設定されていない 現在のように見えます。)

0
cskemmerer