証明書の扱いについて

Webサーバー向け証明書の中で DNS名は、Subject 内 CN (CommonName) の他にサブジェクトの別名( subjectAltName ) で定義することが可能。

・RFC3280 (2004年) で標準的な方法として定義されている。(実装はそれ以前より行われていました) https://www2.jcsinc.co.jp/repository/rfc3280-j.pdf より:

4.2.1.7 サブジェクト代替名(Subject Alternative Name)
サブジェクト代替名拡張は,追加のアイデンティティが証明書のサブジェクトに結合されることを許す.定義されるオプションは,インターネット電子メールアドレス,DNS 名,IP アドレスおよびURI(uniform resource identifier)を含む.完全にローカルな定義を含む他のオプションが存在する.複数名前形式,および各名前形式の複数インスタンスが含まれてもよい.そのようなアイデンティティが証明書に結合されるべきときにはいつでも,サブジェクト代替名(または発行者代替名)拡張が使用されなければならない;

複数のDNS名に対して発行される証明機関の例: http://cspssl.jp/service/multi.html

(関連して)ワイルドカード証明書は、利用されなくなる方向にある。少なくともEVSSL証明書では発行されない。

ところで、StartSSL で最近証明書を発行したところ、自分のアカウントを Class 2 にしていたら、Web サーバー証明書も Class 2 、すなわち Subject の中に自分の個人名を入れられた。

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。