浜松のWEBシステム開発・スマートフォンアプリ開発・RTK-GNSS関連の開発はお任せください
株式会社シーポイントラボ
TEL:053-543-9889
営業時間:9:00~18:00(月〜金)
住所:静岡県浜松市中区富塚町1933-1 佐鳴湖パークタウンサウス2F

オレオレ SAN 対応証明書

最近の SSL 証明書では SAN (Subject Alternative Name) と言われるマルチドメイン対応しています。

例えば企業で以下の Web サイトを運用していた場合は、1 枚の証明書に全て含める事ができる様になっています。

  • www.cpoint-lab.co.jp
  • cpoint-lab.co.jp
  • www.c-point.co.jp
  • www.tida-cloud.co.jp
  • www.tida-square.co.jp
  • www.hamazo.co.jp

SSL 証明書のサービスで 500 ドメインまで対応とかの文字も見かけるので、相当数対応しているのではと思います。

技術的には、格納可能なバイト数として 4096 バイトの様なのでコモンネームの文字長によって変化する様です。

ただし、一度に全ての証明書更新となるため、一つの URL を追加した場合でも、全てのサーバで入れ直しする必要が出てくるので、これをめんどくさいと考えるか、一度で行えて効率化と捉えるかの判断が必要。

そんなマルチドメイン (SANs) の証明書をオレオレで作成したい。でも簡単。

openssl req \
  -newkey rsa:2048 \
  -days 3650 \
  -nodes \
  -x509 \
  -subj "/C=/ST=/L=/O=/OU=/CN=www.cpoint-lab.co.jp" \
  -extensions SAN \
  -config <( cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=\
   'DNS:www.cpoint-lab.co.jp,\
    DNS:cpoint-lab.co.jp,\
    DNS:www.c-point.co.jp,\
    DNS:www.tida-cloud.co.jp,\
    DNS:www.tida-square.co.jp,\
    DNS:www.hamazo.co.jp,\
    DNS:*.c-point.ne.jp'\
   ")) \
  -keyout server.key \
  -out server.crt

オラオラ~な証明書なので、ワイルドカードも含めたりとなんでもし放題です。自己CA局作ってブラウザにインストールする場合は、CA局を事前に構築する必要がありますが、証明書だけ使えれば良いという事であれば、この 1 行でサクッと作る事ができます。

subjectAltNameに対応した自己署名証明書の作り方 – Qiita

  • この記事いいね! (1)