teratail
回答率
85.48%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
トップHTTPに関する質問
HTTP

HTTP(Hypertext Transfer Protocol)とはweb上でHTML等のコンテンツを交換するために使われるアプリケーション層の通信プロトコルです。

nginx

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

SMTP

SMTP(Simple Mail Transfer Protocol)はIPネットワークでemailを伝送する為のプロトコルです。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

Q&A

解決済

2回答

2334閲覧

サーバ証明書の構成について

p_np
p_np

総合スコア39

HTTP

HTTP(Hypertext Transfer Protocol)とはweb上でHTML等のコンテンツを交換するために使われるアプリケーション層の通信プロトコルです。

nginx

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

SMTP

SMTP(Simple Mail Transfer Protocol)はIPネットワークでemailを伝送する為のプロトコルです。

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

2グッド

1クリップ

投稿2016/03/10 09:18

編集2016/03/10 09:20

2

1

HTTPやSMTPサーバなどに使用するSSLサーバ証明書の構成についてわからないことがあるため質問します。

今、1台でHTTP・FTP・メール(SMTP・POP3)の3つの機能を持たせたサーバがあります。(=IPがすべて同じ)
(本来は別々にするべきですが、理由があって同じにしています)
(名前はabc.comとします)
そのサーバには3つのドメインabc.com,www.abc.com,sub.abc.comがあるのですが、
証明書をどのように使用すればよいのか悩んでいます。
WEBサーバはすべてのドメインでSSL通信ができるようにして、メールは@abc.comでPOP3SやSMTPSを使えるようにしたいと思っています。
いろいろ調べてみたところ証明書は一つのサーバに一台しか導入できないとのことですが、
3つのドメインをそれぞれ取得して、WEBサーバには3つ設定し、メールサーバはabc.comの証明書を設定するいとうのは不可能でしょうか?

SNIはWebサーバのみなのでダメだと思うのですが、このようなケースの場合はワイルドカード証明書でなければならないのでしょうか?

足りない情報がもしありましたら補足いたします。
よろしくお願いします。
環境

OS:CentOS7
HTTPサーバ:nginx 1.9
メールサーバ:postfix,dovecot

matobaa, skksky👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

サーバ証明書はソフトウェア毎に設定できますので、nginx、Postfix、Dovecotそれぞれ別のサーバ証明書を使うことは可能です。ですので、Webサーバとば全く別に、メールサーバ(Postfix、Dovecot)にはabc.comの証明書だけを指定することは全く問題ありません。

問題はWebサーバですが、もし三つの証明書を既に取得済みならSNIを使う方法で問題ないと思います。ガラケーとかで無い限り対応していないブラウザはさすがにもうないでしょう。それ以外にも証明書に別名(SAN、Subject Alternative Name)を付けておくという方法があります。SANが付与できるかは発行元によって異なりますが、大手であればほとんど対応しているようです。追加料金等も不要なところもありますので、証明書を三つも買ったり、ちょっとお高いワイルドカード買ったりするよりは良いと思います。ただ、こちらもガラケーは対応していないようで、かといってワルドカードもガラケーは対応していないので、どんな方法を取ろうがガラケーはマルチIPアドレスにする方法以外は対応策はないと思います。

投稿2016/03/10 10:54

raccy
raccy

総合スコア21735

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

p_np
p_np

2016/03/10 11:24

ご回答いただきありがとうございます。ソフトウェア毎に設定できるということは、ポートが異なればよろしいのですね。勘違いをしていました。 ほとんどの疑問はおかげさまで解決できたのですが、もう一つ質問があります。 仮にPostfix・Dovecotで複数ドメインを扱う場合(例:aaa.com,sub.aaa,com) は、Webサーバの”SNI”のような機能はあるのでしょうか? 調べてはみたのですが、解決に至りませんでした。 よろしくおねがいします。
raccy
raccy

2016/03/10 11:34

はい、ポートが異なれば大丈夫です。IPアドレスが異なれば別々のサーバ証明書を設定できるのと同じと思って下さい。WebサーバもIPアドレスが同じでもポートが異なれば別にできます。また、Dovecotの場合、IMAPSとPOPSについても別々に設定できたと思いました(ちょっと変わった設定が必要だったと思いますが)。 PostfixとDovecotでSNIのような機能はなかったと思います。少なくとも私は聞いたことも、そのような設定があるのを見たこともありません。また、SAN付きの証明書は使えると思いますが、SANに記載された別名でもOKとしてくれるかはクライアント次第になりますので、Webサーバのようにうまくいく可能性は低いと思います。
TaichiYanagiya
TaichiYanagiya

2016/03/10 15:37 編集

Postfix, Dovecot の場合、メールアドレスのドメインパートではなく、SMTP, IMAP, POP サーバーのホスト名(mail.abc.com など)が証明書の CN と一致すればいいです。 なので、サーバー名を共通のものにして(証明書を 1つにして)、ログインユーザー名を user@aaa.comuser@sub.aaa.com とメールアドレスにするといいと思います。
p_np
p_np

2016/04/03 02:25

返信の方、遅れてしまい申し訳ございません。 Webサーバのようにうまくいく可能性は低いとのことなので、同じサーバで、複数のドメインを扱うことはやめることにしました。 しかし、証明書・サーバの仕組みについては大変勉強になりましたので、次に生かしたいと思います。 raccy 様、TaichiYanagiya 様、ご回答いただきありがとうございました。
guest

0

Postfixは2.1からProxy Protocolに対応してるので、おそらくSNIいけますよ。
ApacheもSNIで。IEは9から対応かな?

というわけで、ワイルドカード証明書で良いんじゃないですかね。

投稿2016/03/10 09:23

ogaaaan
ogaaaan

総合スコア765

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップHTTPに関する質問

サーバ証明書の構成について