SSL・EV SSL サーバ証明書サポート

opensslでマルチドメイン証明書証明書用のCSRを作成

本ページに記載されているCSRの作成方法は、基本的な構成を元にしています。
システム環境等の設定状況により、手順や画面表示が異なることがあります。
アプリケーションやツールなどの仕様や設定手順等でご不明な点がある場合は、それらのマニュアルをご確認いただくか、開発元にご連絡ください。
※この手順によって生じた影響や結果について、弊社では一切の責任は負いかねます。

マルチドメイン証明書/1年あたり72,800円から
Windowsサーバーにおすすめ 最大25ホスト名まで対応 DigiCert(デジサート) 企業認証SSL/TLS リーズナブルな価格でご提供

opensslでマルチドメイン証明書用のCSRを作成

マルチドメイン証明書を使うと、ひとつのサーバー証明書で複数のホスト名を有効にすることはできます。これはワイルドカード証明書とは異なり、www.hoge.jp と www.hoo.jp のような全く異なるホスト名を有効にする技術です。
全く関係のないドメインがこの証明書を使うことは適当とはいえませんが、それらが同一の所有者のものである場合や、同一の責任者に管理されている場合は有効な方法です。
Internet Explorer 、Firefox 等主要ブラウザがこの証明書に対応しています。

SSL通信で使われる x509 証明書には Subject Alternative Names(サブジェクトの別名)という機能があります。
Subject Alternative Names(サブジェクトの別名)は証明書のsubjectに別名を記述できることを意味しています。
マルチドメイン証明書はSubject Alternative Names(サブジェクトの別名)に複数のホスト名を記述することでその機能を実現しています。

opensslを使ってマルチドメイン証明書用のCSRを作成する場合、openssl.cnf (FreeBSD /etc/ssl/openssl.cnf, RedHat Linux /usr/share/ssl/openssl.cnf, /etc/pki/tls/openssl.cnf)を編集する必要があります。

オリジナルファイルを以下の例のようにコピーし、コピーしたファイル(例:/etc/ssl/san_openssl.cnf)を編集することをお勧めします。

cp /etc/ssl/openssl.cnf /etc/ssl/san_openssl.cnf
WildCard Plus/1年あたり138,400円から
複数のサブドメインを1枚の証明書でカバー DigiCert(デジサート)企業認証SSL/TLS リーズナブルな価格でご提供

編集箇所

[req]セクションで

[req]
req_extensions = v3_req

上記記述がコメントアウトされている場合は、有効にします。
記述がない場合は上記を追加してください。

[ v3_req ]セクションで

[ v3_req ]

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment

上記に続けて以下を追加してください。

subjectAltName          = @alt_names

[alt_names]
DNS.1   = foo.com
DNS.2   = www.foo.org

上記は、Subject Alternative Names(サブジェクトの別名)に foo.com と www.foo.org を登録する例です。
DNS.1 =、DNS.2 = .. に続けて、Subject Alternative Names(サブジェクトの別名)に登録するホスト名を記載してください。

SSL Plus/1年55,000円から
DigiCert(デジサート)企業認証SSL/TLS スマホ対応 リーズナブルな価格でご提供

CSR の作成

以下のコマンドで /etc/ssl/san_openssl.cnf を使ってコモンネーム www.foo.com の CSR を作成します。

openssl req -config /etc/ssl/san_openssl.cnf -new

この後は通常の openssl コマンドと同様に、対話的にデータを入力します。コモンネーム www.foo.com も入力します。

作成できた CSR は以下のコマンドで内容を確認できます。$CSR_FILENAME は内容を確認する CSR ファイルの名称です。

openssl req -text -noout -in $CSR_FILENAME

以下の様な内容が表示されるはずです。

        Attributes:
        Requested Extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Key Usage:
                Digital Signature, Non Repudiation, Key Encipherment
            X509v3 Subject Alternative Name:
                DNS:www.foo.com, DNS:foo.com, DNS:www.foo.org
EV SSL Plus/1年あたり115,200円から
緑のアドレスバーでサイトの信頼性向上 DigiCert(デジサート) EV SSL/TLS リーズナブルな価格でご提供
※2020年12月末をもって組織内の部署名(Organizational Unit Name)の運用は終了いたしました。
 2021年1月以降に発行される証明書に組織内の部署名は反映されません。

※関連情報
 OUフィールドの廃止に関するご案内

 

RMS

・SSLサーバー証明書

・コードサイニング
その他証明書

・バウチャ(クーポン)

お見積依頼

Copyright © cybervision Hosting. All rights reserved.