回答:
はい、ワイルドカード証明書の場合、共通名は* .yourdomain.comである必要があります。
基本的に、共通名は証明書がどのドメインに適しているかを示すものなので、実際のドメインを指定する必要があります。
明確化:これは、サイトのドメイン名「を含んで」べきではない、それがなければならないことのサイトのドメイン。私はあなたの質問に違いはないと思います、ドメインがどうあるべきか、または証明書が何のために使われるかについての誤解がある場合に、明確にしたかっただけです。
実際には、証明書dnsName
のsubjectAltName
セクションのエントリを使用して、のCN部分ではなくFQDNを指定する必要がありますsubject
。subject
RFC 2818が2000年に公開されて以来、この目的でを使用することは推奨されていません。セクション3.1を引用:
dNSName型のsubjectAltName拡張が存在する場合、それをIDとして使用する必要があります。それ以外の場合、証明書のSubjectフィールドの(最も具体的な)Common Nameフィールドを使用する必要があります。共通名の使用は既存の慣習ですが、廃止されており、代わりにdNSNameを使用することを証明機関に推奨しています。
の内容がsubject
サーバー証明書検証のコンテキストに関連する唯一のケースdnsName
は、subjectAltName
場合です。このケースは、執筆時点で過去17年間廃止されています。
RFC 6125のセクション7.2に示されているように、ワイルドカード証明書の使用は非推奨です。
このドキュメントは、ワイルドカード文字「*」が提示された識別子に含まれるべきではないが、アプリケーションクライアントによってチェックされるかもしれないと述べています(主に配備されたインフラストラクチャとの後方互換性のために)。
複数のサービスに同じ秘密鍵を使用することは、通常、悪い習慣と見なされます。サービスの1つが危険にさらされると、他のサービスからの通信が危険にさらされるため、すべてのサービスのキー(および証明書)を交換する必要があります。
この問題に関する情報源として、RFC 6125をお勧めします。
dnsName
ワイルドカードドメインを含めることができます。また、subject
その場合はどうあるべきでしょうか?
はい、ワイルドカードSSL証明書は要件に応じた最適なソリューションです。ワイルドカード証明書を使用すると、訪問者の情報を保護できます。あなたのウェブサイトのどのページが提出されるかは関係ありません。ワイルドカード証明書は、同じドメイン名を共有するサブドメインを無制限に保護します。
すべてのサブドメインとサーバーに同じワイルドカード証明書をインストールすると、組み込みのリスクが伝わります。1つのサーバーまたはサブドメインが危険にさらされると、すべてのサブドメインも同様に危険にさらされる可能性があります。あなたのウェブサイトがすべての外部および内部の圧力からの複数レベルの保護で保護されていることを確認してください。