SANs(Subject Alternative Names)のサーバ証明書とは?
SANs(サンズと読みます)の証明書とはコモンネーム以外のFQDNを拡張領域に格納することで、コモンネーム以外のサイトでもhttps接続ができるサーバ証明書のことです。
SANs証明書は何のためにあるの?
通常はコモンネームごとにサーバ証明書を購入するのですが、最近は一台のサーバで複数のサイトを運用しているのも当たりまえな感じです。
そうなるとサーバ証明書も1枚で済ませたい、ということになりますが、その際に必要とされるのが、SANs証明書ということです。
SNIの機能なんかが使えるようになってきているのも、SANs証明書の必要性が上がってきたということかもしれません。
Microsoft Exchange Serverでも、SANs証明書が必要とされるようです。
SANs証明書であるかの確認方法
具体的な確認方法は、IEであれば、サイトへアクセスしたうえで、鍵のアイコンのところをクリックして「証明書の表示」をクリックすると証明書ウィンドウが開きますので、そこで詳細タブをクリックします。
そして、サブジェクト代替名というフィールドがあれば、SANs証明書確定となります。
※SANsがなければこのフィールド自体がありません。
以下はwww.google.co.jpで使われているサーバ証明書です。
コモンネームは*.google.comですが、SANsとして、*.google.co.jpが含まれているので、www.google.co.jpでもエラーが出ることなく接続できています。
SANs証明書の取得方法は?
もともとCSRに含めて生成して申請するパターンと、申請サイト等で追加SANsを手入力するパターンとに分かれるようです。
申請サイトで入力するパターンだとCSRに入れたものは無視されちゃうと思います。
勝手にSANsが入っているんですけど?自動SANs?
いわゆる2WAYでしょう。
2WAYというのは、www付きで申請するとwwwがないネイキッドドメインが追加され、ネイキッドドメインで申請するとwww付きのものが追加されるというものです。
要はwwwあり、なし両方で使える証明書ということですね。
例
www.example.com
→自動でexample.comがSANsとして追加。
example.com
→自動でwww.example.comがSANsとして追加
なお、自動SANsはそもそも認証局の対応状況に依存しますし、階層とかにも影響される(追加されないことがある)ようなので、くわしくは購入する認証局へ確認してくださいね。
SANsとワイルドカードを併用することができるのか?
例に挙げたwww.google.co.jpのサーバ証明書もそうですが、ワイルドカードの証明書にもSANsを追加することは可能です。
よって、ほとんどのサイトが同一ドメインでワイルドカードでOKなんだけど、一部のサイトだけ対応できないなんて場合は、SANsとワイルドカードを組み合わせた証明書を購入すればOKということです。
ちなみにこのタイプで購入できるかも認証局次第なので、事前に確認してから購入するようにしてくださいね。
SANs証明書は証明書にかかるコストを下げてくれるのか
またかよ、という感じだと思いますが、認証局によっては、CNごとに1枚分の費用が追加されるようなので、そんなのだとバラに買ったのと同額になりますね。
ただ、シングルの証明書よりは高いけど、4つ以上買うならSANsのほうが得になるという価格設定であれば、場合によってはコストを下げることができるかもしれません。
SANs証明書のまとめ
- SANsとはコモンネームの別名を含めることができる証明書
- 1台のサーバで異なるサイトの運用をしている場合に有効
- Microsoft Exchange Serverで使える
- ワイルドカードと組み合わせ可
- 場合によってはコストダウンすることができる
そんな証明書でした。
コメント