designetwork

ネットワークを軸としたIT技術メモ

マルチドメインかつワイルドカードの証明書は発行できない?

(2017/4/15 ValueSSLではマルチドメインかつワイルドカードの証明書を発行可能)

(2018/4/7 GeoTrustでもマルチドメインかつワイルドカードの証明書を発行可能)

(2022/x CyberTrustでもマルチドメインかつワイルドカードの証明書を発行可能 ※要エンタープライズ契約 証明書1枚単位でなく使用ドメイン数等による契約)

HTTPS(SSL)を実装する際には証明書の検討も必要となる。多くのサイトを公開する場合にはFQDNが多数となるが、ワイルドカード証明書、マルチドメイン(SANs)証明書を使用することで証明書の数を削減することができる。

さらなる効率化として、マルチドメインかつワイルドカードの組合せ証明書は発行することができないのか確認する。

認証局(CA)/証明書発行機関の説明

SSLサーバ証明書を発行する各種認証局、証明書発行機関ではそれぞれ、マルチドメイン(SANs)証明書・ワイルドカード証明書についての説明がされている。しかし、タイトルの通り「マルチドメインかつワイルドカードの証明書は発行できない」という明記は見当たらない。ただ、記載の組合せで発行できないことが分かる。

Cybertrust

SureServer 製品情報 | SSL/TLS サーバー証明書 SureServer | サイバートラスト

マルチドメイン証明書でSANsを追加する手順が記載されている。使用可能文字は以下の通り。

  • 半角英数字(a〜z, A〜Z, 0〜9)
  • - (ハイフン)
  • . (ピリオド)

ここにワイルドカード * (アスタリスク)は含まれていない。マルチドメイン証明書にワイルドカードを組み合わせることはできない。

エンタープライズ契約により発行可能
証明書1枚単位でなく使用ドメイン数等による契約でワイルドカード・マルチドメイン証明書が発行できる。

GeoTrust

https://www.geotrust.co.jp/products/sans_wildcard_ssl/www.geotrust.co.jp

各証明書のサポート範囲が記載されている。これらもSANとしてFQDNを追加できるが、ワイルドカードは含まれない。

CN:geotrust.co.jp クイックSSLプレミアム 4 サブドメインパック クイックSSLプレミアム ワイルドカード
SANs:
abc.geotrust.co.jp
abc1.geotrust.co.jp
abc.abc.geotrust.co.jp × *部分と違う階層のため
abc.abc.abc.geotrust.co.jp × *部分と違う階層のため
abc.abc.abc.symantec.com × 別ドメインのため × 別ドメインのため

(2018/4/7追記) コメント参照。マルチドメインかつワイルドカードの証明書を発行できる事例あり。

ValueSSL

ワイルドカード証明書について « ValueSSLサポート

安価で個人でも取得がしやすいValueSSLのFAQより。

項目 マルチドメインSSL証明書 ワイルドカードSSL証明書
CSRのコモンネーム (例1)yourdomain.com 
(例2)ssl.yourdomain.com
(例1)*.yourdomain.com
(例2)*.ssl.yourdomain.com
注意点 FQDN(完全修飾ドメイン名)を指定する FQDN(完全修飾ドメイン名)の頭に「*. 」をつけて指定する

注意事項に記載されている通り、マルチドメイン証明書の場合はFQDNを指定する必要があるため、*の指定はできない。

ValueSSL訂正 発行可能

(2017/4/15追記)実績を紹介いただき追記しました。

ValueSSLでは、SANsとして登録するドメインに対してワイルドカードでの登録ができる。

SANsに設定できる例 説明
www2.yourdomain.co.jp サブドメイン
secondaname.com ドメイン
ssl001.shopsite.secondaname.com 多階層のサブドメイン
*.yourdomain.co.jp ワイルドカード

ワイルドカード証明書使用時のSANs

一般的な証明機関では、ワイルドカード証明書を発行する際に以下のように*.階層のサブドメインを含まないSANが登録される。

申請: *.example.com
CN: *.example.com
SAN: example.com

技術的には可能

こちらの議論では、マルチドメインかつワイルドカード証明書は、技術的には可能、しかしCAのポリシーにより発行されない、と結論づいている。

stackoverflow.com

まとめ - マルチドメインかつワイルドカードの証明書は発行できない

マルチドメインかつワイルドカード証明書は、技術的には可能だが、認証局のポリシーにより発行されない場合がある。日本国内の認証局は発行可否を問い合わせることを推奨する。説明を確認しても、やはり、マルチドメインかつワイルドカードの証明書は発行できないことがわかる。(ValueSSL, GeoTrustは発行実績あり)