1. SANを活用して、効率的なサーバ認証管理を進めよう

SANを活用して、効率的なサーバ認証管理を進めよう

  • このエントリーをはてなブックマークに追加

SAN(Subject Alternative Name)を使えば、1枚の証明書で複数のウェブサイトの暗号化通信を実現することが可能になります。これによって限りあるIPアドレスの節約や効率的なサーバ認証管理も可能になります。現在、インターネットの利用はマルチホスト、マルチドメインの活用が一般的です。こうした時代において、ホストやドメインごとに証明書を用意するのは大変です。現在複数のホストやドメインをすでに立ち上げていたり、今後立ち上げる予定があったりする場合には、ぜひSANの活用を検討してみましょう。

SAN導入によるSSLサーバ証明書管理のメリット

SANは『Subject Alternative Name』の略称で、サブジェクトの別名ともいわれます。通常、1つのサーバで異なるドメインのサイトを複数運営している場合、以前はそれぞれのドメインにSSLサーバ証明書を設定する必要がありました。SANを使えば、異なるFQDN(URL)でアクセスしても、1枚のSSLサーバ証明書で包括的にSSLの機能を実装できます。

例えば、コモンネームが「www.tokyo.co.jp」であったとすると、「tokyo.co.jp」では定義されたデータが完全一致しないため本物と認められず、証明書エラーが発生してします。対外的なウェブサービスを「www.tokyo.co.jp」で行って、社内向けのイントラネットは「intranet.tokyo.co.jp」としたり、「www2.tokyo.co.jp」としたりすることやウェブサーバ以外にFTPサーバを「ftp.tokyo.co.jp」としたり、ファイルサーバを「files.tokyo.co.jp」としたりするなども一般的なマルチホスト活用方法ですが、これらもすべてコモンネームが「www.tokyo.co.jp」に設定されていれば証明書エラーが出てしまいます。

また、インターネットの商用化が始まった頃には、まだ1つの会社で1つのドメインという使い方が一般的でしたが、現在では会社のコーポレートサイト、ECサイト、プロモーションサイトなどで複数のドメインを管理してサーバを運営することが当たり前になってきました。ホスト名を分けるだけでなく、コーポレートサイトとしては「tokyo.co.jp」を使用し、ECサイトでは全く別の「ecservice.com」などを使ったり、製品プロモーションをするときには 「新製品名.jp」のようなドメインを期間限定で立ち上げたり、顧客の囲い込みをするための会員制サイトとして「members.club」のようなドメインを管理することもあるでしょう。

このように、マルチホスト、マルチドメインが一般的になってくるにつれて、SANのメリットを活かすべきケースが多くなってきています。

図:SANを使えば、異なるFQDN(URL)でアクセスしても1つの証明書でSSL通信を実現
SANを使えば、異なるFQDN(URL)でアクセスしても1つの証明書でSSL通信を実現

SANが1枚のSSLサーバ証明書でサービス提供できる理由

SANは、ひとつの証明書に複数のホスト名を登録することができます。それは、サーバ証明書に含まれる情報として、コモンネームを含むサブジェクトとは別に、「SAN」という拡張領域を用意しているからです。

この領域の中には、認証局にもよりますが、コモンネームとは異なる複数のFQDN(URL)を格納することができます。ただし、SANの扱いは認証局やサービスによって仕様が異なるため事前に確認が必要です。フィーチャーフォンや古いAndroid端末ではサポートされないこともあるという事は、いずれ時間が解決するとはいえ、認識しておいた方が良いでしょう。

なお、ブラウザの鍵マークをクリックし、証明書の詳細タブを表示させ、フィールド名「サブジェクトの別名」をクリックすることで、設定されているSANの内容を確認することもできます。

設定されているSANの内容を確認
設定されているSANの内容を確認

SANとワイルドカードの違い

このように、SANでは異なるホスト、異なるドメインをすべて1枚のSSL証明書管理することができますが、似たような機能を持つサービスとして、ワイルドカードがあります。ワイルドカードは同一ドメイン内であれば、複数のサブドメインサイトを1枚のSSLサーバ証明書で管理・運用することが可能です。

「*tokyo.co.jp」の場合、SANと同じく1つの証明書で「www.tokyo.co.jp」「intranet.tokyo.co.jp」「www2.tokyo.co.jp」 「ftp.tokyo.co.jp」「files.tokyo.co.jp」などをまとめて管理でき、マルチドメインと同様にコスト削減、サーバ管理の効率化ができます。「tokyo.co.jp」以外のドメインを将来的にも使う予定が全くない場合には、ワイルドカードで複数のホスト名を1枚のSSL証明書で管理することも可能です。ただし、「aaa.www.tokyo.co.jp」のようにサブドメインが増える場合は利用することができません。

図:SANとワイルドカードとの違い
SANとワイルドカードとの違い

SANのマルチドメインでの活用例を見てみよう

こうした便利なSANですが、その活用例としてメーカーが自社の会社案内などのサイトの他にECサイトを立ち上げて直販を行いたい場合を考えてみましょう。

一般的に既存のコーポレートサイトなどとテーマが異なるサイトを作る場合には、新たに別のドメインを取得する方が対外的にもわかりやすいとされています。テーマごとに別のドメインを利用している例としては、カカクコム社の「価格.com」と「食べログ」などが代表例です。ターゲットとしているユーザが異なるサービスでは、むしろドメインを分けるほうが当たり前になってきているといえます。

ただドメインをテーマごとに分けたとしても、セキュリティ問題には十分に注意を払う必要があります。ECサイトを利用するユーザの安心、安全意識はますます高くなっており、ブラウザの鍵マークや「https」の表示で認証の安全性を確認する人も増えています。そのため、SSL認証がされておらずURL欄の側に「安全ではない」といった警告が表示されるとサイトだけではなく、企業や商品のブランディングにも響く時代になってきました。

そうした中、SSL認証の導入は不可欠という認識は一般的となってきましたが、複数のホストやドメインを立ち上げるとき、また最初から証明書の導入手続きをしたり、都度コストをかけなければならないのは大きなハードルとなります。しかし、SANを使えば、こうしたハードルをクリアすることができるわけです。

1つの証明書で2つ以上のホスト、ドメインのSSL対応できるSANを使いこなそう

SANを活用すれば、1枚の証明書でSSL通信を行うサブドメインやマルチドメインを1枚の証明書にまとめることができるので、個別で証明書を発行・管理するよりもコストを抑えることが可能です。SSL導入は、今後当たり前となり、マルチホスト、マルチドメインの活用もますます一般的になっていきます。

そうしたなか1つの証明書で2つ以上のホストやドメインをSSL対応させることができるSANを使いこなすことで、コスト面や運用面で大きなメリットを得ることができますので、ぜひ検討してみることをおすすめします。

  • このエントリーをはてなブックマークに追加

この記事を書きました

グローバルサインブログ編集部

グローバルサインブログ編集部
所属:GMOグローバルサイン マーケティング部
当ブログの運営・管理を担当。マーケティング部=なんでも屋。
>>グローバルサインブログ編集部の記事一覧