サーバ証明書のコモンネームについて
- サーバ証明書のコモンネーム(Common Name、一般名)とは何ですか?
- 証明書のコモンネームとURLを一致させる必要があるのでしょうか?
- コモンネームとURLが異なる場合、Webブラウザはユーザに警告を出さないのでしょうか?
- ベストアンサー
サーバ証明書のコモンネームについて
サーバ証明書のコモンネーム(Common Name、一般名)について教えてください。 公的認証局のホームページを見ると、サーバ証明書のコモンネームはSSL接続するサイトのURL(FQDNまたはIPアドレス)とする、と記載されています。しかし当方の知り得る範囲で(イントラネット内ですが)、証明書のコモンネームとURLが異なるものがあります。(*を使っていて一部しかあっていない、などということではなく、まったく異なるドメイン名となっている) このことに関して以下について教えていただけませんでしょうか。 (1) 証明書のコモンネームとURLを一致させるというのは、サーバ証明書の仕組みとして必須なのでしょうか?それとも、努力目標やマナーといった「必ずしも一致させなくても良い」というレベルの取り決めなのでしょうか? (2) 当方にて、前述したコモンネームとURLが異なるサイトを表示させた場合、証明書エラーが出たり、URL欄が赤色で協調されたりということはありませんでした(当方はInternet Explorer8を使用)。コモンネームとURLが違う場合、Webブラウザはユーザには何ら警告を出さないものなのでしょうか? 以上、よろしくお願いいたします。
- condo
- お礼率85% (86/101)
- ネットワーク
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
(1) 必須です。 文字通り「証明書」なのですから、証明書の内容と実際が異なっていたら証明になりません。 (2) 通常は警告を出します。 Internet Explorerならば、「ツール」→「インターネットオプション」→「詳細設定」→「セキュリティ」→「証明書のアドレスの不一致について警告する」のチェックが外れているのではないでしょうか。 この項目のチェックが外れていると、そのIEでは詐欺サイトの確認を行いません。 おそらくイントラネットでエラーを表示させないために設定を変えたのだと思われますが、そのIEでインターネット上のサイトは見ない方が良いでしょう。他にも安全性を無視した設定がされているかもしれないので、悪意のあるサイトにより何かを仕込まれたり騙されたりする可能性があります。
その他の回答 (1)
- hanabutako
- ベストアンサー率54% (492/895)
それについて書いてあるのはRFC2818のSection 3.1だと思います。 http://tools.ietf.org/html/rfc2818#section-3.1 (1) 公的認証局に署名してもらったサーバー証明書を使うなら、必須なものと考えるべきだと思います。 (2) 一致しているかの確認作業を省略して良いとWebブラウザに設定したからではないでしょうか。
お礼
ご回答くださりありがとうございました。 まさに「RFC2818」のような文書を探していました。 コモンネームとURLが異っても警告等がでないのは、Webブラウザの設定によるものと考えられるとのご助言、ありがとうございます。 大変、参考になりました。ありがとうございました。
関連するQ&A
- CentOS5.4で「自作SSLサーバ証明書」作成途中の「Webサーバ
CentOS5.4で「自作SSLサーバ証明書」作成途中の「WebサーバのFQDN」 (「プライベートCA(認証局)」による「自作SSLサーバ証明書」を 作成時に手入力する項目の1つ) について教えてください。 お世話になります。 おそらく通常ですと、「WebサーバのFQDN」へは、 「www.~」から始まるURL値を手入力すると思います。 そこで質問内容ですが、WWWとあわせて、 他にFileZillaなどでFTPも利用しているサーバに対しましては、 上記致しました「www.~」から始まるURL値で、1つ「自作SSLサーバ証明書」を作成後に、 更に、 もう1つ別に、 今度は「ftp~」から始まるURL値で、別の「自作SSLサーバ証明書」を2つ目の証明書として 作成する必要があるのでしょうか? それとも、 上記致しました「www.~」から始まるURL値で、1つ「自作SSLサーバ証明書」を 作成しておけば、 それが、FTPを利用する際にも、 SSL通信であわせて、SSLとして利用可能な状態になるのでしょうか? 今回初めて1年更新の時期がきて、「自作SSLサーバ証明書」作成・更新を、 近日中に実施予定の為、 上記のご質問をさせていただきました。 宜しくお願い致します。
- ベストアンサー
- ネットワーク
- IISのサーバー証明書について
IISで証明書作成し、証明書の発行要求を行うときの 一般名の入力項目はどのように入力すべきなのでしょうか? 例えば、デフォルトサイトのC:\inetpubwwwrootにSSL通信 させる時です。。 一般名は、SSL通信接続の際の URL と一致させる必要があるので注意 しなければならないたしいのですが。 言葉では伝わりにくいので、私が実施した環境、やりたいこと、手順(キャプチャー) を以下のURL(ブログ)に詳細に記載しましたので、ご確認のうえご回答いただけたらと 思います。 http://ameblo.jp/ahokata01/entry-11978005349.html
- ベストアンサー
- その他(ITシステム運用・管理)
- 証明書の必要枚数を教えてください。
以下システムで必要なSSL証明書枚数は3枚で間違いがないか教えていただけないでしょうか? SMTPサーバー :smtp.test.jp MAPサーバー :imap.test.jp squirrelサーバー(webメール):Squirre.test.jp のサーバーを3台用意し、1台ずつにインストールします。(各サーバーがバラバラの役割を持つ) 通信は全て、SSL/TLSで行います。 1台のサーバーに3つの役割を全て統合して用意するなら、 1枚のSSLを発行するだけで問題ないと思うのですが、 3台のサーバーを用意し、3つのホストネームがあるので、 Common Nameがそれぞれのサーバーで異なるとおもうので 3枚の証明書を用意する必要があると思っています。 私の考えは間違っていませんでしょうか? よろしくお願いします。
- ベストアンサー
- ネットワーク
- ネームサーバ情報の呼び方について
サーバをレンタルすると、ネームサーバ情報がサーバ会社から送られてきます。 例(ネームサーバ情報): プライマリ dns1.example.com 123.456.78.9101 セカンダリ dns2.example.com 123.456.78.9102 上記の123.456.78.9101は呼び名が「プライマリネームサーバIPアドレス」で、123.456.78.9102は呼び名が「セカンダリネームサーバIPアドレス」ということは分かります。 しかし、dns1.example.com及びdns2.example.comの”正しい”呼び名が分かりません。自分で調べたところ、dns1.example.comを「プライマリネームサーバ名」と呼び、dns2.example.comを「セカンダリネームサーバ名」と呼ぶみたいですが、これが正しい呼び方なのか定かではありません。 どなたか、ネームサーバ情報のdns1.example.com及びdns2.example.com部分の”正しい”呼び名を教えて下さい。参考になるサイトのURL等ご存知でしたら、そちらもお教えいただければ幸いです。 よろしくお願いします。
- ベストアンサー
- ハードウェア・サーバー
- WIN2000 SERVER でイントラネット内でFQDNでWEBサーバをたてたい
お世話になります。 イントラネット内でWIN2000 SERVER にて(http://*****.co.jp)といったような 形式でIISを用いてWEBサーバを運用したいと思っています。 ちなみにサーバは一台でネットワークはワークグループです。 現状は(http://192.168.0.200)/(http://コンピュータ名)ではイントラネット内でWEBサイト(***.htm/***.asp)は閲覧できます。 FQDN(http://*****.co.jp)を実現する場合、 DNSをサーバに用意すればいいのはわかるのですが、どのような手順でDNSを設定すればよいのでしょうか? そもそも、ワークグループで(http://*****.co.jp)な形のサーバ構築は可能なのでしょうか? また、(http://*****.co.jp)としたい場合の(*****.co.jp)コンピュータ名となにか関係があるのでしょうか? 過去ログを調べたのですが、なかなかピンとこなかったもので・・・。 申し訳ありませんが、よろしくおねがいします!
- ベストアンサー
- Windows NT・2000
- 無効なSSLサーバ証明書
有効期限が切れたなどの理由で無効になってしまっているSSLサーバ証明書のサイトにhttpsで接続しようとすると、「このサーバ証明書は無効です」というような警告がでます。 これにOKしてhttpsで接続する場合、サーバの正当性が証明されないだけで通信の暗号化はされているのでしょうか? よろしくお願いします。
- 締切済み
- ネットワーク
- サーバーのSSL認証設定について
SSLを設定しようとしているのですが、インストールが上手くいきません。 環境はOpenSSL + Apacheになります。 証明書は発行済でSSL証明書ファイル、中間証明書ファイル、秘密鍵ファイル は既にサーバーに保存しております。 --(example.comは適当です)----------------------- コモンネーム:www.example.com SSLサーバ証明書ファイル名 wwwexamplecom.crt 中間証明書ファイル名 inter.crt 秘密鍵ファイル名 wwwexamplecom.key SSLサーバ証明書の保存先 /etc/httpd/conf/ssl/crt/ 中間証明書の保存先 /etc/httpd/conf/ssl/crt/ 秘密鍵の保存先 /etc/httpd/conf/ssl/key/ ------------------------------------------------ スペル、保存先に間違いはないことは確認しております。 また、ssl.conf設定ファイルはありません。 サーバー amazon ec2 web server Apache ver2.2.16 【httpd.conf 記載の一部】 <VirtualHost ***.**.***.***> ServerAdmin root@**** DocumentRoot /home/aff3_0/public_html ServerName http://www.example.com ServerAlias example.com ErrorLog logs/error_log CustomLog logs/access_log combined SSLEngine on SSLCertificateFile /etc/httpd/conf/ssl/crt/wwwexamplecom.crt SSLCACertificateFile /etc/httpd/conf/ssl/crt/inter.crt SSLCertificateKeyFile /etc/httpd/conf/ssl/key/wwwexample.key </VirtualHost> 【エラーメッセージ】 Invalid command 'SSLCertificateFile', perhaps misspelled or defined by a module not included in the server configuration この時点で止まっております。 アドバイスを頂けると有難いです。 足りない情報などがあれば追記します。 宜しくお願い致します。
- 締切済み
- ネットワーク
- クライアント証明書(Windows Server)
Windows Server 2008 R2 Standardを使って、インターネット上にサイトを構築しました。 サイト全体にセキュリティを施す必要があり、SSL証明書を購入し運営ドメインに設置しました。 そのドメイン配下で特にセキュリティを高める必要がある場所があったので、仮想ディレクトリ作り、特定の者だけアクセスさせるようにしようとしているところです。 IP制限やVPNは使えないという条件で何か方法を探しており、クライアント証明書というものの存在を知りました。 クライアントのブラウザに証明書をインストールしているものだけアクセスできるので、できればこれを使いたいのですが、そもそも、その証明書はどこで取得できるのでしょうか? 契約したSSL証明書の会社のホームページの製品にクライアント証明書について書かれていませんので、いろいろネットで調べましたが、知識不足の為いまいちよく分かりません。 今のサイトはドメイン認証タイプのSSLを設置してますが、そもそも、そのサイトの仮想ディレクトリに対してクライアント証明書での認証を行わせること自体可能なのでしょうか?
- ベストアンサー
- ネットワーク
- 移転先のネームサーバが旧ネームサーバと同じ名前?
現在、勤務先の会社のサイトを入れてあるレンタルサーバが海外の業者のものなので扱いにくく、国内のサーバに乗り換えることになりました。 コンテンツは既に新サーバに入れ終わったので、トラフィックの行き先を切り替えようとドメインを管理している業者のコントロールパネルにログインしたところ、現在のネームサーバ名として入っている名前が、ok1.server.ne.jp(仮名)とok2.server.ne.jp(仮名)であるのに対し、これから切り替えようとしている先のレンタルサーバで「この名前を入れなさいと記載しているネームサーバ名が、旧サーバと全く同じok1.server.ne.jp(仮名)とok2.server.ne.jp(仮名)になっています。 これでは、情報が書き変わらないので新しいサーバにトラフィックが向きませんよね? こんな場合、どうしたら良いのでしょう? 新しいサーバでの案内では、ネームサーバの名前のところに OK1.SERVER.NET 123.456.78.90 OK2.SERVER.NET 123.456.88.90 といったようにIPアドレスみたいなものもつなげて書いてあります。 もしかすると、この「OK1.SERVER.NET」という名前の替わりにIPアドレスを入れてやればいいということでしょうか? しかし、今までの業者とサーバ名が同じなのにIPアドレスが違うなんてことがあるのでしょうか? また、レジストラによっては、IPアドレスを名前の替わりに入れたら正しくトラフィックの行き先がセットされないということは無いのでしょうか?
- 締切済み
- その他(インターネット接続・通信)
- SSL サーバ証明書ってどうやって見るの
SSLに対応したページで、ブラウザの鍵マークをダブルクリックして表示されるサーバ証明書の見方を教えてください。 なにやらたくさんの情報が表示されますが、何処をどう見てどう思えばよいのでしょう。 自分なりには・・・ ・発行者 ・有効期間 ・サブジェクト ・キー使用法 ・・・・などが重要そうかなと思いますが、正しい見方、見るポイント、押えるべきポイントなど、アドバイスをいただければと思います。 また、このことが書いてあるサイトなどでも結構です。 よろしくお願いします。
- ベストアンサー
- ネットワーク
お礼
ご回答くださりありがとうございました。 Internet Explorerの設定で、「証明書のアドレスの不一致について警告する」かどうかを選択できるのですね。これは知りませんでした。 質問に記載した不一致の例では、「証明書のアドレスの不一致について警告する」にチェックはついていたものの警告等はありませんでした。ただ、警告等が出ないのはWebブラウザの設定によるところが分かりましたので、IEの設定を突っ込んで確認しようと思います。 大変、参考になりました。ありがとうございました。