SSL証明書を送信するときに選択する必要がある国、州、および市について、本当に混乱しています。サーバーの場所または現在の自宅の住所を指定する必要がありますか?
いつでも証明書を再発行できますが、これは将来的に何らかの問題を引き起こす可能性がありますか?
これは簡単な質問のように聞こえるかもしれませんが、情報を見つけることができませんでした。
一般的に、証明書requestでは、これらの値は重要ではありません。重要なのは、結果の証明書に表示される内容であり、証明書の内容は、ユーザーではなくCAによって選択されます。証明書要求は、公開鍵をCAに送信するための容器です。そのリクエストは「サブジェクト名」のスペースを含むフォーマット(通常は PKCS#1 )を使用しますが、このフィールドは、よくてもCAへの丁寧な提案として理解する必要があります。
CAは、要求を受信すると、認証された顧客からのものであることを確認する必要があります(たとえば、要求は、クライアント認証を備えたWebベースのインターフェースを介して送信されます)。 CA証明書ポリシー。 CAmightを使用すると、リクエストで一部のフィールドを指定できますが、ほとんどの場合、リクエスト内の名前は無視されます。彼らはそれがあなたから来ていることを知っており、彼らはあなたの名前を付けます。
CAが実際に証明書で国、州、市を選択できる場合(リクエストで指定するか、その他のリクエスト外の構成を使用して)、intentこれらの情報は、証明書を所有する組織(たとえば、本社を置くことを選択した国、州、および都市)を修飾するものであるということです。いずれの場合でも、Webブラウザーはこれらの値を検証せず、ユーザーに表示しません(2つまたは3つの[詳細を表示]ボタンを連続してクリックするユーザーを除く)。要約すると、値は実際には重要ではありませんが、興味深く、せんさく好きな人が実際にそれらを見ることができるので、ここに恥ずかしいことを入れないでください。
CA /ブラウザフォーラムベースライン要件(PDF) は、証明書のサブジェクトのこれらのフィールドに、CAによる要求者のIDとアドレスの検証に従って入力する必要があることを指定します。この検証は、以下によって提供されるドキュメントまたは情報を使用して行われます。
- 申請者の法的作成、存在、または承認の管轄権にある政府機関。
- 定期的に更新され、信頼できるデータソースと見なされるサードパーティのデータベース。
- CAまたはCAのエージェントとして機能している第三者によるサイト訪問。または
- 証明レター。
したがって、国、州、および地域のフィールドは、証明書の要求者の正式な住所である必要があります。
ただし、実際の観点から見ると、CAはID /アドレス検証の結果に応じて自動的に証明書のサブジェクトに値を追加するため、CAに送信される証明書要求で値を指定する必要はありません。
会社の情報(住所は本社の所在地)または個人の場合は自分の情報を提供する必要があります。
真実は、自動的に発行されたDV(ドメイン検証)証明書の場合、誰もチェックすることはなく、CN(共通名)が証明書を取得するサーバーのホスト名と一致することを本当に気にかけているだけです。
必要な情報はドメインの所有者に関する情報であり、サーバーの場所とは関係ありません。これはDNSの登録者に似ています。つまり、個人としてドメインを所有している場合、組織はありません。