ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

マイクロソフト ADCS ワイルドカード証明書、SAN サブジェクトの別名証明書の違い

ADCSでは、ワイルドカード証明書、SAN サブジェクトの別名証明書を発行することができます。


ADCSはWindows Serverが使えれば費用をかけずに構築できるのでおすすめです。私が初めて構築したのはWindows Server 2003の時代だったと思います。


それから、何度も構築してきましたが、証明書は様々な用途で使う事ができます。最初に構築した際に利用したのは、無線LANEAP-TLS認証での利用ですが、その他、マイクロソフトOfficeのコード署名、WEBサーバなど、色んな用途で使えます。


そして、タイトルですが、ADCS ワイルドカード証明書、SAN サブジェクトの別名証明書の違いついて書きたいと思います。


じっくり調べないと混同して発言してしまいそうですが、二つは別の機能になります。まず、ワイルドカード証明書についてですが、マイクロソフトのサイトに説明があります。

 

https://docs.microsoft.com/ja-jp/exchange/architecture/client-access/certificates?view=exchserver-2019 

 

以下は抜粋です。

 

証明書の Subject フィールドには、ワイルドカード文字 (*) の後に単一のドメインまたはサブドメインが続く共通名が含まれています。たとえば、*.contoso.com や *.eu.contoso.com のようにします。*.contoso.com のワイルドカード証明書は、次に対して使用できます。
• www.contoso.com
ftp.contoso.com
• mail.contoso.com

柔軟性。 証明書を要求したときにホストの一覧を提供する必要はありません。また、今後必要になる可能性がある任意の数のホストで証明書を使用することもできます。

 

何が便利かというと上記にあるように、一つの証明書を使ってホスト部分を自由に定義することができます。ワイルドカード部分がホスト部にあたります。ちなみに SAN サブジェクトの別名証明書を利用する場合はレジストリを変更する必要があります。