Help us understand the problem. What is going on with this article?

SSLサーバ証明書のSANsとは

More than 5 years have passed since last update.

SSLサーバ証明書のSANsとは

Subject Alternate Names の略で、サーバ証明書のCN(Common Name)の別名というか追加名のこと。

普通サーバ証明書を買うと www.example.com など一つのホスト名がCNとして設定されたものが発行される。
ブラウザ等はサブドメインまで含めて完全一致でこのホスト名をチェックするから、www2.exmaple.com や example.com なんかのホスト名でアクセスすると証明書エラーが出る。でも www.example.com と example.com はサイトの中身同じだしどっちでもアクセスできるようにしたい。

だけどその為に証明書2枚も買うのはもったないし設定も面倒…。というのに対する一つの回答がSANという機能と思えば良い。より詳しいことは「Subject Alternate Names」でググれば分かる。

要は一つの証明書の中に2つ以上のホスト名を列挙することが出来る機能なわけだ。

サーバ側の設定もこの1つの証明書をセットしておけばSANsに含まれる全ホスト名に対応できるので楽ちん。

SANsな証明書が発行出来るかどうかは認証局次第

普通は www.example.com の証明書を取得したら example.com は含まれないとこが多い気がする。
追加料金で両方含められたり、逆にexample.comは最初から勝手に含まれてたり、果てはうちはSANsやってないんでーってとこもそれなりにある。認証局によって違う。
これボッタクリだろwwって値段のとこも多いし、色々検討すると良いだろう。

調べるのが面倒くさいので各認証局の対応具合や値段の列挙とかはここではしない。各自自分で調べてお気に入りの認証局を探せば良いと思う。ここで列挙しても数年立場値段とかも変わってその時代のベストな情報じゃ無くなっちゃうしね。

ちなみに僕はStartSSLをよく使ってる

StartSSLではサブドメインを含まない example.com みたいなホスト名(ネイキッドドメインっていうのかな)は勝手にCNもしくはSANsに入ってくる。逆に言うとこれを除く方法が無い気もする(^^;
しかも、ここは ワイルドカード証明書だろうがSANsだろうが何でも対応してるので便利。
さらにそれら全部、無料で発行してもらえるしね!

基本無料だけど、個人認証や組織認証するのにはお金がかかる。それをすると発行できる証明書の期限を長くしたりEV証明書も発行できるようになったりなど色々便利になる。
ネックは英語でメッセージや書類のやり取りしなきゃならんのが結構大変なことかな…。

あと個人名やメールアドレスが証明書に含まれるのでそれを

あと自社用ならこれで良いんだけど、特殊メールアドレス(hostmaster@example.comとか)へのメール送信による所有者チェック以外に、それなりにちゃんと人出でのドメインの所有組織のチェックも行われているようなので、偶に証明書の取得代行を頼まれて申請してみても「このドメインお前が持ってるやつじゃないだろ?」と英語で返信が来て発行が却下されることもStartSSLにはよくある。
ちなみにホントに偶に自分が持ってるドメインなのに却下されて、ちげーよちゃんと僕のだよ、と英語で証拠を示す問答とかが発生したりすることも2度ほど経験した(^^;

つまり、メールだけ転送して貰って代行するってことはStartSSLでは出来ないんだわ。そういう場合(他人の代行)は諦めてRapidSSLとかそういうとこで個別にお金払って代行したりすることになる。本人所有以外のドメインの証明書は発行できないから、代行したい場合はその人にまずはアカウント作ってもらえって規約とかFAQにも書いてあるしな。

ブラウザサポートの問題も

あと何気にこのSANsって機能、ガラケーや古いAndroid端末(確かver 2.x)とかだとサポートしてなかったりするので若干困る。だがまぁそういうのは時代が進むに連れて減るだろうから気にしない!

それから、そういう古い端末は大抵SNI(1個のIPとポートの組み合わせで複数証明書を切り替える機能)とかも対応してないから、対応しようと思ったら諦めて複数証明を取得して、複数IPで運用するしか無いね。

まぁ、大抵の問題はお金で解決するから心配無用。

元々は2chのレス

下のスレのID:fRd8fKHoは僕なわけだが2chだとそのうち倉庫に行っちゃうかもしれないので補足も兼ねて↑にメモった。

【認証局】SSLに関するスレ 2枚目【ぼろ儲け】
http://engawa.2ch.net/test/read.cgi/mysv/1286532904/294-297

294 :DNS未登録さん:2013/05/30(木) 10:25:29.56 ID:???
example.comでwwwサーバ、メールサーバ、sshサーバを運営したいんだけど、 
www有りのコモンネームで証明書を取得すれば、SANsの機能で 
www有り・無し関係なくSSL通信ができるという認識であってますか? 

295 :DNS未登録さん:2013/05/30(木) 12:54:39.57 ID:fRd8fKHo
>>294 
example.com と www.example.com の両方がSANで含まれた証明書ならね。 
でも、普通は www.example.com の証明書を取得したら example.com は含まれないと考えるべき。 
追加料金で両方含めれたり、逆にexample.comは最初から勝手に含まれてたりとか、認証局によって違う。 

296 :DNS未登録さん:2013/05/31(金) 07:49:15.56 ID:???
>>295 
example.com (wwwなし)の証明書って必要? 

297 :DNS未登録さん:2013/05/31(金) 12:17:19.50 ID:???
ComodoのPositive SSLって安いな 
ttp://www.gogetssl.com/domain-validation/ 

Positive SSL CNがexample.comにSANでwww.example.com 
Rapid SSL CNがwww.example.comにSANでexample.com 
だったはず 
Why do not you register as a user and use Qiita more conveniently?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away