問題
サーバの冗長化など,同一FQDNの複数サーバで証明書を利用する場合はどうすればよいですか。
解決方法
以下の方法いずれかで可能です。
2022年7月26日にサーバ証明書のOUが廃止されるため、対応に変更点があります。
2022年7月26日までの解決方法
- 同一FQDNであれば,発行された1枚のサーバ証明書を,必要とする複数の機器にコピーしてご利用いただくことができます。
これは,同一FQDNのサーバを使用するケースの多くは負荷分散のためであり,負荷分散装置配下に並列設置されるサーバの鍵ペア漏洩リスクは同等とみなせるためです。
従って,同一FQDNのサーバであるものの,設置場所が異なるなど鍵ペア漏洩リスクが異なる場合には,下記2.,3.の方法で対応いただくことを推奨します。 - サーバ毎にCSRを作成し,各サーバに証明書を発行する方法でも対応可能です。次の点に留意して,CSRを作成してください。
1. Common Name(コモンネーム, CN)は同一にする。
2. Organizational Unit Name(組織部門, OU)は,最後に1,2,3等の数字をつける等,各サーバ毎に名称を変更する。
※これは証明書を一意にするために行っていただくものです。 - 2と同様ですが,各サーバに個別のFQDNも割り当てられている場合,下記の方法でも対応可能です。
次の点に留意して,CSRを作成してください。
1. Common Name(コモンネーム, CN)は個別のFQDNにする。
2. Organizational Unit Name(組織部門, OU)は、各サーバで同一で結構です。
3. dNSNameに共通のFQDNを指定する。
2022年7月26日以降の解決方法(OU廃止後)
- 同一FQDNであれば,発行された1枚のサーバ証明書を,必要とする複数の機器にコピーしてご利用いただくことができます。
これは,同一FQDNのサーバを使用するケースの多くは負荷分散のためであり,負荷分散装置配下に並列設置されるサーバの鍵ペア漏洩リスクは同等とみなせるためです。
従って,同一FQDNのサーバであるものの,設置場所が異なるなど鍵ペア漏洩リスクが異なる場合には,下記2. の方法で対応いただくことを推奨します。 各サーバに個別のFQDNも割り当てられている場合,下記の方法でも対応可能です。
次の点に留意して,CSRを作成してください。
1. Common Name(コモンネーム, CN)は個別のFQDNにする。
2. dNSNameに共通のFQDNを指定する。例:1枚目の主体者DN ”CN=certs1.nii.ac.jp, O=NII, L=Chiyoda-ku,ST=Tokyo,C=JP"
2枚目の主体者DN ”CN=certs2.nii.ac.jp, O=NII, L=Chiyoda-ku,ST=Tokyo,C=JP"
1枚目のSANsの値 "dNSName=certs1.nii.ac.jp, dNSName=certs.nii.ac.jp"
2枚目のSANsの値 "dNSName=certs2.nii.ac.jp, dNSName=certs.nii.ac.jp"