• ベストアンサー
  • すぐに回答を!

サーバ証明書のコモンネームについて

サーバ証明書のコモンネーム(Common Name、一般名)について教えてください。 公的認証局のホームページを見ると、サーバ証明書のコモンネームはSSL接続するサイトのURL(FQDNまたはIPアドレス)とする、と記載されています。しかし当方の知り得る範囲で(イントラネット内ですが)、証明書のコモンネームとURLが異なるものがあります。(*を使っていて一部しかあっていない、などということではなく、まったく異なるドメイン名となっている) このことに関して以下について教えていただけませんでしょうか。 (1) 証明書のコモンネームとURLを一致させるというのは、サーバ証明書の仕組みとして必須なのでしょうか?それとも、努力目標やマナーといった「必ずしも一致させなくても良い」というレベルの取り決めなのでしょうか? (2) 当方にて、前述したコモンネームとURLが異なるサイトを表示させた場合、証明書エラーが出たり、URL欄が赤色で協調されたりということはありませんでした(当方はInternet Explorer8を使用)。コモンネームとURLが違う場合、Webブラウザはユーザには何ら警告を出さないものなのでしょうか? 以上、よろしくお願いいたします。

共感・応援の気持ちを伝えよう!

  • 回答数2
  • 閲覧数654
  • ありがとう数2

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1

(1) 必須です。 文字通り「証明書」なのですから、証明書の内容と実際が異なっていたら証明になりません。 (2) 通常は警告を出します。 Internet Explorerならば、「ツール」→「インターネットオプション」→「詳細設定」→「セキュリティ」→「証明書のアドレスの不一致について警告する」のチェックが外れているのではないでしょうか。 この項目のチェックが外れていると、そのIEでは詐欺サイトの確認を行いません。 おそらくイントラネットでエラーを表示させないために設定を変えたのだと思われますが、そのIEでインターネット上のサイトは見ない方が良いでしょう。他にも安全性を無視した設定がされているかもしれないので、悪意のあるサイトにより何かを仕込まれたり騙されたりする可能性があります。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ご回答くださりありがとうございました。 Internet Explorerの設定で、「証明書のアドレスの不一致について警告する」かどうかを選択できるのですね。これは知りませんでした。 質問に記載した不一致の例では、「証明書のアドレスの不一致について警告する」にチェックはついていたものの警告等はありませんでした。ただ、警告等が出ないのはWebブラウザの設定によるところが分かりましたので、IEの設定を突っ込んで確認しようと思います。 大変、参考になりました。ありがとうございました。

関連するQ&A

  • CentOS5.4で「自作SSLサーバ証明書」作成途中の「Webサーバ

    CentOS5.4で「自作SSLサーバ証明書」作成途中の「WebサーバのFQDN」 (「プライベートCA(認証局)」による「自作SSLサーバ証明書」を   作成時に手入力する項目の1つ) について教えてください。 お世話になります。 おそらく通常ですと、「WebサーバのFQDN」へは、 「www.~」から始まるURL値を手入力すると思います。 そこで質問内容ですが、WWWとあわせて、 他にFileZillaなどでFTPも利用しているサーバに対しましては、 上記致しました「www.~」から始まるURL値で、1つ「自作SSLサーバ証明書」を作成後に、 更に、 もう1つ別に、 今度は「ftp~」から始まるURL値で、別の「自作SSLサーバ証明書」を2つ目の証明書として 作成する必要があるのでしょうか? それとも、 上記致しました「www.~」から始まるURL値で、1つ「自作SSLサーバ証明書」を 作成しておけば、 それが、FTPを利用する際にも、 SSL通信であわせて、SSLとして利用可能な状態になるのでしょうか? 今回初めて1年更新の時期がきて、「自作SSLサーバ証明書」作成・更新を、 近日中に実施予定の為、 上記のご質問をさせていただきました。 宜しくお願い致します。

  • サーバ証明書(オレオレ証明書)の有効期限の変更

    こんばんわ。 OpenSSLのサーバ証明書(オレオレ証明書)をブラウザからの利用について調べています。 下記のサイトを参考にさせていただきました。 サーバはCentOS6.4です。OSは仮想PC上に作っています。 http://www.webtech.co.jp/blog/developer-news/1159/ http://www.aconus.com/~oyaji/www/certs_linux.htm 上記のサイトを参考に証明書を作ってブラウザーがアクセスしたところうまくいきました。 次にサーバ証明書の有効期限を20年にしようとしたところ、反映されず1年になってしまいます。 openssl.confの default_days = 7300 default_crl_days= 730 としてもダメでした。 何か設定漏れがあると思うのですが、どこを設定すればサーバ証明書の有効期限を変更できるのでしょうか。

  • 完全修飾ドメイン名に対する一般名とは何ですか?

    http://windows.microsoft.com/ja-jp/windows-vista/changing-intranet-security-settings インターネットとイントラネットの違いは何ですか。 この項目内にイントラネットサイトは一般名によりアクセスできるとありますが、 FQDNとはどう違うのですか? 完全修飾ドメイン名とは、コンピュータ名+ドメイン名のことで、 これをインターネット上のDNSサーバーを介して検索、アクセスしているという事はわかります。 また、社内ネットワーク内のイントラネットサイトにアクセスするのには、おそらくインターネットを介さなくて済むのだろうとは思うのですが…。 お願いします。

その他の回答 (1)

  • 回答No.2

それについて書いてあるのはRFC2818のSection 3.1だと思います。 http://tools.ietf.org/html/rfc2818#section-3.1 (1) 公的認証局に署名してもらったサーバー証明書を使うなら、必須なものと考えるべきだと思います。 (2) 一致しているかの確認作業を省略して良いとWebブラウザに設定したからではないでしょうか。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ご回答くださりありがとうございました。 まさに「RFC2818」のような文書を探していました。 コモンネームとURLが異っても警告等がでないのは、Webブラウザの設定によるものと考えられるとのご助言、ありがとうございます。 大変、参考になりました。ありがとうございました。

関連するQ&A

  • SSLについて デメリット

    SSLについて デメリット WebシステムのSSLはサーバーからクライアントのパソコン間の通信でデータを暗号化復号化して通信時のデータの安全性を図るものだと理解しています。 httpsで始まるURLの場合、全てのデータが暗号化復号化されていると理解しています。 これで正しいでしょうか。 では、安全性からしたら全てSSLにしたほうがよいと思います。そうなるとhttpで始まるURLはなくなるはずです。現実には多くのサイトがhttpで始っています。httpsにするメリットは安全性と思いますが、デメリットがあるのでしょうか。あればデメリットをお教えください。 また、「SSLサーバ証明書」はそのサイトが本物のサイトですという証明書であって、証明書がなくてもSSLにすることはできるという理解でよろしいでしょうか。

  • IEで「このページは表示できません」のエラー

    WindowsXP+Apache2.2でウェブサイトの作成をしています。 (これは開発環境で、本番環境はまた別のサーバです) ログインページ等でHTTPSを使うので、 開発環境では自己署名証明書を作ってテストしています。 そのため、IEで開くと「証明書のエラー」(証明書は信頼できません)のエラーが出ますが、 ひとまず開くことはできるので、問題はありません。 ただ、ある事情により開発環境にインストールしたVMWarePlayer上のWindowsから この開発環境のサイトにアクセス・テストする必要が出ました。 そして実際にHTTPSを使っているページにアクセスしようとすると、 「InternetExplorerではこのページは表示できません」というエラーが表示されます。 HTTPだと問題無いのですが・・・ (試しにChromeでもやってみましたが、SSL接続エラーと表示されてNGでした) 1点気になるのが、VM上からHTTPSでアクセスした時、 IEのセキュリティゾーンが「インターネット」になっていることです。 VM上からではなくホストOS上からであれば、HTTPもHTTPSも「ローカルイントラネット」です。 VM上からでもHTTPであれば「ローカルイントラネット」です。 HTTPSにした途端に「インターネット」に切り替わってしまいます・・・ なお、URLはFQDNやIPアドレスではなくコンピュータ名を使っています。 (FQDNやIPアドレスだとインターネット扱いになるのがIEの仕様だそうなので) 何とかVM上からHTTPSでもアクセスできるようにする方法は無いでしょうか。 というか何が問題になっているんでしょうか。 そもそも自己署名証明書では、ローカルでしかテストできないとか? 原因の切り分け方も見当がつかず困っています。 よろしくお願い致します。

  • FreeRadiusのEAP-TLS認証について

    無線LANで802.1xのEAP-TLS認証をするためにRadiusサーバを構築することになりました。 環境: OS:FedoraCore3 RADIUSサーバ:FreeRadius 証明書発行:OpenSSL 現在インターネットで勉強しながら構築しようとしておりますが、2,3不明な点、確認したい事がございますので質問させてください。 1.EAP-TLSでは無線クライアント側では 「クライアント証明書」と「サーバ証明書」の2つ が必要、一方RADIUSサーバ側では 「サーバ証明書」 が必要らしいですが、クライアント側とサーバ側が保有する「サーバ証明書」は同一のものなのですよね? 2.使用する無線アクセスポイントには802.1xの設定項目はあるのですが、RadiusサーバのIPアドレスを設定する項目はありません。そういうものなのでしょうか? 3.証明書の作成のしかたで、行き詰ってます。何か良いURLあれば教えていただけますでしょうか? すべてお答えいただかなくても結構ですのでよろしくお願いいたします。

  • べりサインの中間証明書に関して

    Webサーバ(Apache/1.3.34 Ben-SSL/1.57 (Unix))を使って SSLサイトを構築しています。3月でべりサインから貰った サーバ証明書の期限が切れるので、新しい証明書を取得しました。 すると、証明書のほかに、中間証明書というものが付いてきました。 私の持っている本には、中間証明書のインストール方法が記載 されていないのですが、どのようにしたら、インストールできるのでしょうか? ご回答、よろしくお願いいたします。

  • サーバー証明書をインストールしようとするとエラー

    Win2008に付属のIIS7に証明書会社発行の証明書をインストールすると、 下記のエラーが発生しインストールすることができません。 CertEnrool::CX509Enrollment::P_InstallResponse: ASN1 タグの値が間違ってます。0x8009310b(ASN:267) IISマネージャを開き サーバ証明書を選択し、 証明書の要求の完了..を選択し、 証明書会社からいただいた証明書ファイルを選択し インストールを実行すると エラーが発生いたします。(画像添付) サーバ証明書会社では、サポートをしていないと言われました。 また、色々なサイトを検索しても解決できませんでした。 同様なトラブルに遭遇された方がいたらアドバイスをいただけたらとおもいます。 よろしくおねがいいたします。

  • FC2動画見たいのに…!

    登録出来ません(汗)携帯で新規登録しようとすると「証明書の不一致」となりメールが届かない以前の問題…。 PCではメールは届きますが、URLをクリックするとまた証明書がーとなり登録出来ません。 どこに問題があるのでしょうか?

  • クライアント証明書を必須にすると接続できない

    社内のSSL環境を構築しておりますが、私の知識不足のためになかなかうまくいきません。 申し訳ありませんが、ご教授願えますでしょうか? ---テスト環境--- サーバA:www.XXXX.co.jp (Winodws Server 2008 R2 役割:IIS7.5、AD証明書サービス(スタンダート ルートCA)) サーバB:yyy.XXXX.co.jp (Winodws Server 2008 R2 役割:IIS7.5) クライアント1:IE7(WindowsXP)、IE9(Vista):クライアント証明書あり クライアント2:IE8(WindowsXP):クライアント証明書なし ---証明書--- サーバA(ルートCA認証局) |--サーバA:サーバAルートCAでサーバ証明書発行(IIS用:サイトのバインドに設定しSSLを設定(SSL設定:SSLが必須、クライアント証明書:必須)) |--サーバB:サーバAルートCAでサーバ証明書発行(IIS用:サイトのバインドに設定しSSLを設定(SSL設定:SSLが必須、クライアント証明書:必須)) |--クライアント1:サーバAルートCAでクライアント証明書発行 ---アクセス---  クライアント1→サーバAのサイト:表示/OK(正常にサイトを確認できる)  クライアント2→サーバAのサイト:表示/NG(サイトを確認できない)クライアント証明書がないので正しい ※クライアント1→サーバBのサイト:表示/NG(403 13のエラーとなり接続できない)クライアント証明書はルートCAの証明があるのに接続できない  クライアント2→サーバBのサイト:表示/NG(サイトを確認できない)クライアント証明書がないので正しい なぜサーバBのサイトへアクセスできないのでしょうか?ルートCAの証明書は有効となっているのですが?です。 ちなみにクライアント証明書のCRLは「http://www.XXXX.co.jp/」のcrlの場所となっています。 サーバBにAD証明書サービスをインストールし既存CAにてルートCAと利用すればよいのはわかるのですが、 インストールなしでできないものでしょうか?サーバを追加するたびにクライアント証明書を要求・発行しなくてもルートで承認している クライアントから接続できないのでしょうか? 証明書の発行、考えに問題があるのか分からないのですが、なにか回答があれば助かります。

  • セキュアなウェブサイトを作る課題で悩んでます

    こんばんわ。 できるだけセキュアなウェブサイトを作りなさいという課題で悩んでいます。 他のソフト(Poderosa等)で証明書を使用するのがあったので、Webブラウザでも以下のようなことができないかと思っています。 1)Webブラウザではhttpsでアクセスする。 2)サイトは証明書がないと見れないようにする。 3)証明書はダウンロードとかではなく、管理者からメールで送られてきた証明書ファイルを使用する。 4)証明書ファイルをインストールする時はパスワードを必要とする。 5)証明書インストール後は普通にサイトが見れる。 6)サイトが見れた後はログイン画面等別のセキュリティ設定を。 環境は仮想PCにCentOS6.4+Appachで用意しました。 6)については別のセキュリティなので無視します。 とりあえず見様見真似でopensslを使ってkey、csr、crtファイルを作り、/etc/pki/tls/certs/にセットしてみました(オレオレ証明書?)。IEからは「この Web サイトのセキュリティ証明書には問題があります。」というエラーが出ます。これは認証を受けてないからだとは思いますが、「このサイトの閲覧を続行する (推奨されません)。 」の項目があり先が見えてしまいます。続行するとアドレスバーに証明書のエラーと出ていますが、詳細を見ると強引にインストールできてしまいます。 結局のところ2)から何もできていないのですが、上記のようなサイトは作ることは可能でしょうか? 証明書は認証を必ず受けないとできないものでしょうか? 大雑羽な説明になって申し訳ありませんが上記について教えていただけないでしょうか。 参考サイト等もあれば教えていただけないでしょうか。 普段使ってるブラウザで裏でどういうことが行われているのが全く考えたことがなかったので、調べるとあまりの無知っぷりに驚いています。 よろしくお願いします。

  • セキュリティの警告・証明書

    「このサイトと取り交わす情報は、ほかの人から読み取られたり変更される事はありません。しかし、このセキュリティ証明書には問題があります。 ・このセキュリティ証明書は、信頼された証明機関から発行されてます ・証明書は、有効期限が切れたか、まだ有効になってません ・この証明書には表示しようとしているサイトと一致する名前があります」 というのがおもにログインをする時出てきます(gooやhotmail等) どうすれば止められるでしょう? ちなみに証明書には2007/7/18から2008/8/18までと書かれてます。 もしかして、ある日付までバックアップした事があるのですが、それが問題でしょうか?

  • セキュリティー警告

    Win8です。 突然、以下の警告が出てから、絶えず表示されます。 対処方法を教えて下さい。当方初心者(幼稚園生)です、 恐れ入りますが出来るだけわかりやすくお願いいたします。  セキュリティーの警告  このwenサイトのIDまたは接続の完全性を確認できません。  (!) このセキュリティー証明書は信頼する会社から発行されていません。      証明書を表示してこの期間を信頼するかどうか決定して下さい。            このセキュリティーの日付は有効です。  (!) セキュリティー証明書の名前が無効であるか、      またはサイト名と一致しません。  よろしくお願いいたします。