DigiCert証明書の正規代理店株式会社アールエムエス
DigiCert サーバー証明書利用団体
  1. ホーム
  2. サポート
  3. CSR作成方法
  4. opensslでマルチドメイン証明書用のCSRを作成

opensslでマルチドメイン証明書証明書用のCSRを作成

本ページに記載されているCSRの作成方法は、基本的な構成を元にしています。
システム環境等の設定状況により、手順や画面表示が異なることがあります。
アプリケーションやツールなどの仕様や設定手順等でご不明な点がある場合は、それらのマニュアルをご確認いただくか、開発元にご連絡ください。
※この手順によって生じた影響や結果について、弊社では一切の責任は負いかねます。
マルチドメイン証明書/1年あたり50,833円から
Windowsサーバーにおすすめ 最大25ホスト名まで対応 DigiCert(デジサート) 企業認証SSL/TLS 国内最安値でご提供

opensslでマルチドメイン証明書用のCSRを作成

マルチドメイン証明書を使うと、ひとつのサーバー証明書で複数のホスト名を有効にすることはできます。これはワイルドカード証明書とは異なり、www.hoge.jp と www.hoo.jp のような全く異なるホスト名を有効にする技術です。
全く関係のないドメインがこの証明書を使うことは適当とはいえませんが、それらが同一の所有者のものである場合や、同一の責任者に管理されている場合は有効な方法です。
Internet Explorer 、Firefox 等主要ブラウザがこの証明書に対応しています。

SSL通信で使われる x509 証明書には Subject Alternative Names(サブジェクトの別名)という機能があります。
Subject Alternative Names(サブジェクトの別名)は証明書のsubjectに別名を記述できることを意味しています。
マルチドメイン証明書はSubject Alternative Names(サブジェクトの別名)に複数のホスト名を記述することでその機能を実現しています。

opensslを使ってマルチドメイン証明書用のCSRを作成する場合、openssl.cnf (FreeBSD /etc/ssl/openssl.cnf, RedHat Linux /usr/share/ssl/openssl.cnf, /etc/pki/tls/openssl.cnf)を編集する必要があります。

オリジナルファイルを以下の例のようにコピーし、コピーしたファイル(例:/etc/ssl/san_openssl.cnf)を編集することをお勧めします。

cp /etc/ssl/openssl.cnf /etc/ssl/san_openssl.cnf
WildCard Plus/1年あたり88,000円から
ひとつの証明書でホスト名数・サーバー台数無制限で利用可能 DigiCert(デジサート)企業認証SSL/TLS 国内最安値でご提供

編集箇所

[req]セクションで

[req]
req_extensions = v3_req

上記記述がコメントアウトされている場合は、有効にします。 記述がない場合は上記を追加してください。

[ v3_req ]セクションで

[ v3_req ]

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment

上記に続けて以下を追加してください。

subjectAltName          = @alt_names

[alt_names]
DNS.1   = foo.com
DNS.2   = www.foo.org

上記は、Subject Alternative Names(サブジェクトの別名)に foo.com と www.foo.org を登録する例です。
DNS.1 =、DNS.2 = .. に続けて、Subject Alternative Names(サブジェクトの別名)に登録するホスト名を記載してください。

SSL Plus/1年あたり26,533円から
サーバー台数無制限で利用可能 DigiCert(デジサート)企業認証SSL/TLS スマホ対応 国内最安値でご提供

CSR の作成

以下のコマンドで /etc/ssl/san_openssl.cnf を使ってコモンネーム www.foo.com の CSR を作成します。

openssl req -config /etc/ssl/san_openssl.cnf -new

この後は通常の openssl コマンドと同様に、対話的にデータを入力します。コモンネーム www.foo.com も入力します。

作成できた CSR は以下のコマンドで内容を確認できます。$CSR_FILENAME は内容を確認する CSR ファイルの名称です。

openssl req -text -noout -in $CSR_FILENAME

以下の様な内容が表示されるはずです。

        Attributes:
        Requested Extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Key Usage:
                Digital Signature, Non Repudiation, Key Encipherment
            X509v3 Subject Alternative Name:
                DNS:www.foo.com, DNS:foo.com, DNS:www.foo.org
EV SSL Plus/1年あたり29,900円から
緑のアドレスバーでサイトの信頼性向上 DigiCert(デジサート) EV SSL/TLS サーバー台数無制限 国内最安値でご提供
SSL サーバ証明書とは?
30日間テスト証明書
30日間返金保証制度あり!
コードサイニング証明書
ドキュメントサイニング証明書
デジタル証明書ニュース
digicert.comトピックス&ニュース