コモンネームとは
ページ更新日:2025/04/29
コモンネームとは
SSLサーバー証明の コモンネーム(Common Name, CN)は、証明書が保護するメインのサーバー名を指しています。
CSR(証明書署名要求)の作成時に指定する項目で、発行されるSSL証明書のサブジェクト情報に組み込まれます。
1枚のSSL証明書につき設定できるコモンネームは1つだけです。
例えば https://www.example.com/ で運用するサイトなら、コモンネームに「www.example.com」を指定します。
これにより、証明書とサーバーの対応関係が明確になり、適切な暗号化通信が可能となります。
コモンネームには何を指定すべきですか?
コモンネームには対象サイトのFQDN(ドメイン名にホスト名やサブドメインを含めた完全な名前)を正確に指定します。
CSR作成時のコモンネーム欄にはURLのプロトコル(https:// など)やパスは含めず、ホスト名(例:www.example.com)のみを入力します。
CSRで指定したCNは、発行されるSSL証明書にそのまま記載され、後述するドメイン名照合に使われます。
「www」あり・なしの扱い
サイトURLの「www」の有無については注意が必要です。
コモンネームに指定したFQDN そのものしか証明書ではカバーされないため、wwwの有無が異なると別の名前とみなされます。
例えばコモンネームをexample.com(wwwなし)で取得した証明書は、www.example.comへのアクセスでは名前不一致となりブラウザエラーの原因となります。
同様に、CNをwww.example.comとした場合はexample.comにはそのままでは有効ではありません。
ただし多くの証明書商品で、「wwwあり・なし」の両方に対応できるオプション(「wwwオプション」「ダブルアドレス」「2way」と表現)が提供されています。
この「wwwオプション」を有効にして申請すると、証明書発行時に自動的にSubject Alternative Name(SANs)拡張領域へもう一方のドメイン名が追加されます。
そのため、1枚の証明書でwwwの有無両方のアクセスに対応させることが可能です。
- コモンネームが「www.example.com」 → 「example.com」でも利用できるようにSANs設定される
- コモンネームが「example.com」で始まらない場合 → 「www.example.com」でも利用できるようにSANs設定される
ワイルドカード証明書
ワイルドカード証明書とは、コモンネームにアスタリスク(*)を用いて複数のサブドメインを一括でカバーできる証明書です。
コモンネームに例えば*.example.comと指定すると、この証明書ではexample.com直下の任意のホスト名に一致することができます。
そのため、CNが *.example.com の証明書1枚で、www.example.com mail.example.com shop.example.comなど複数サブドメインをまとめて保護できます。
しかし「*」は「ドット(.)を含まない1階層の文字列」のみを表すため、多段階のサブドメインはカバーできません。
例えば*.example.comの証明書ではaaa.bbb.example.com(2階層下のサブドメイン)には一致しない点に注意が必要です。
該当商品:RapidSSL ワイルドカード | QuickSSL Premium ワイルドカード | トゥルービジネスID ワイルドカード
SANs(Subject Alternative Names)との関係
歴史的に、コモンネームは証明書で保護するFQDNを示すために使われてきました。
しかし、現在ではSANs(サブジェクトの別名)拡張に定義されたドメイン名が優先的に参照されます。
TLS1.1以降の仕様および業界標準で、証明書にDNS名タイプのSANエントリが存在する場合はそちらを用いてアクセス先との名前照合を行うことになっています。
モダンなブラウザは証明書内のSANsリストを主にチェックし、CNは補助的(レガシー)な扱いになっています。
📌関連FAQ:Subject Alternative Name(SANs)とは
ブラウザによるドメイン名の照合プロセス
ブラウザはSSL/TLSハンドシェイクの過程で、証明書の名前情報(CNおよびSANs)と、アクセスしているサーバー名の一致を検証します。
この照合プロセスによって、クライアントは接続先が本当に証明書の発行対象である正当なサイトであることを確認します。
- まず先に Subject Alternative Name(SANs) での照合が行われます。
- SANsに該当がない場合や証明書自体がSANsを持たない場合には、証明書のコモンネーム(CN)での照合が行われます。
- その際、ワイルドカード(*)が使われていれば規則に従いワイルドカード判定が行われます。
SANsにもCNにもアクセス先ホスト名と合致する名前が存在しなければ、証明書が無効と判断され、ユーザーのブラウザには警告やエラーが表示されます。