SANs(Subject Alternative Names)のサーバ証明書とは？

SANsの証明書とはコモンネーム以外のサイトにも使える証明書です

SANs（サンズと読みます）の証明書とはコモンネーム以外のFQDNを拡張領域に格納することで、コモンネーム以外のサイトでもhttps接続ができるサーバ証明書のことです。

通常はコモンネームごとにサーバ証明書を購入するのですが、最近は一台のサーバで複数のサイトを運用しているのも当たりまえな感じです。

そうなるとサーバ証明書も1枚で済ませたい、ということになりますが、その際に必要とされるのが、SANs証明書ということです。

SNIの機能なんかが使えるようになってきているのも、SANs証明書の必要性が上がってきたということかもしれません。

Microsoft Exchange Serverでも、SANs証明書が必要とされるようです。

証明書を見れば一発で分かります

具体的な確認方法は、IEであれば、サイトへアクセスしたうえで、鍵のアイコンのところをクリックして「証明書の表示」をクリックすると証明書ウィンドウが開きますので、そこで詳細タブをクリックします。

そして、サブジェクト代替名というフィールドがあれば、SANs証明書確定となります。
※SANsがなければこのフィールド自体がありません。

以下はwww.google.co.jpで使われているサーバ証明書です。

コモンネームは*.google.comですが、SANsとして、*.google.co.jpが含まれているので、www.google.co.jpでもエラーが出ることなく接続できています。

認証局によって取得方法は異なるようです

もともとCSRに含めて生成して申請するパターンと、申請サイト等で追加SANsを手入力するパターンとに分かれるようです。

申請サイトで入力するパターンだとCSRに入れたものは無視されちゃうと思います。

いわゆる2WAYでしょう。

2WAYというのは、www付きで申請するとwwwがないネイキッドドメインが追加され、ネイキッドドメインで申請するとwww付きのものが追加されるというものです。

要はwwwあり、なし両方で使える証明書ということですね。

例
www.example.com
→自動でexample.comがSANsとして追加。

example.com
→自動でwww.example.comがSANsとして追加

なお、自動SANsはそもそも認証局の対応状況に依存しますし、階層とかにも影響される（追加されないことがある）ようなので、くわしくは購入する認証局へ確認してくださいね。

SANsとワイルドカードは併用可能です

例に挙げたwww.google.co.jpのサーバ証明書もそうですが、ワイルドカードの証明書にもSANsを追加することは可能です。

よって、ほとんどのサイトが同一ドメインでワイルドカードでOKなんだけど、一部のサイトだけ対応できないなんて場合は、SANsとワイルドカードを組み合わせた証明書を購入すればOKということです。

ちなみにこのタイプで購入できるかも認証局次第なので、事前に確認してから購入するようにしてくださいね。

認証局によると思います

またかよ、という感じだと思いますが、認証局によっては、CNごとに1枚分の費用が追加されるようなので、そんなのだとバラに買ったのと同額になりますね。

ただ、シングルの証明書よりは高いけど、4つ以上買うならSANsのほうが得になるという価格設定であれば、場合によってはコストを下げることができるかもしれません。

そんな証明書でした。