ワイルドカード証明書でルートドメイン（example.com）もカバーできますか？

通常の *.example.com ではルートドメインはカバーされません。ルートドメインもカバーしたい場合は、SANに example.com を追加したワイルドカード証明書を選択してください。

ワイルドカード証明書のCSRの Common Name には何を入力しますか？

Common Name には *.example.com のように「*.(ドメイン名)」の形式で入力します。* の前にサブドメインを入れると正しいワイルドカード証明書になりません。OpenSSLのopenssl req コマンドで対話入力する際にこの形式を使用します。

ワイルドカード証明書でEV SSL（EV証明書）を取得できますか？

EV（拡張認証）証明書ではワイルドカードは使用できません。CA/Bフォーラムの規定によりEV証明書はワイルドカード非対応です。EV証明書が必要なドメインは個別に取得してください。

☎ 048-837-7778

SSL証明書 > FAQ／情報 > ワイルドカード証明書のCSR作成

【SSL証明書】FAQ／情報

ワイルドカード証明書のCSR作成：コマンド例・カバー範囲詳説

ページ更新日：2026/05/02

ワイルドカード証明書向けの CSR（証明書署名要求）は、コモンネーム（Common Name）を *. で始めて作成します。
例えば *.example.com と設定することで、すべてのサブドメインをカバーする証明書を取得できます。

OpenSSLでのワイルドカードCSR作成手順

ステップ1：秘密鍵とCSRを同時に生成する

OpenSSL の req コマンドで秘密鍵（.key）と CSR（.csr）を同時に作成します。

openssl req -new -newkey rsa:2048 -nodes \
    -keyout wildcard.key \
    -out wildcard.csr

※ -nodes：秘密鍵にパスフレーズを設定しない（サーバー運用向け）
※ RSA 2048ビット以上を推奨。3072ビットや4096ビットも利用可能です（処理が若干重くなります）。

ステップ2：CSR 入力項目（Common Name に *.example.com を設定）

実行後、対話形式で以下の情報を入力します。

Country Name (2 letter code) [AU]: JP
State or Province Name (full name) [Some-State]: Tokyo
Locality Name (eg, city) []: Shinjuku-ku
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Example Co., Ltd.
Organizational Unit Name (eg, section) []: IT Department
Common Name (e.g. server FQDN or YOUR name) []: *.example.com    ← ここに *.ドメイン名 を入力
Email Address []: （空白のままEnter）
A challenge password []: （空白のままEnter）
An optional company name []: （空白のままEnter）

※ Common Name に *.example.com の形式で入力することが重要です。* の前にサブドメインを入れないでください（例：*.www.example.com は誤りです）。

ステップ3：CSRの内容確認

作成したCSRの内容を確認します。

openssl req -text -noout -in wildcard.csr

出力中の Subject: CN=*.example.com を確認してください。

ワイルドカード証明書のカバー範囲

*.example.com でカバーされる範囲は直下のサブドメインのみです。

ドメイン名	カバー可否
`www.example.com`	✓ カバーされる
`shop.example.com`	✓ カバーされる
`api.example.com`	✓ カバーされる
`example.com`（ルートドメイン）	✗ カバーされない（別途SAN追加が必要）
`sub.www.example.com`（2段階のサブドメイン）	✗ カバーされない

※ example.com（ルートドメイン）も使用する場合、*.example.com と example.com の両方をカバーするワイルドカード証明書（SAN付き）を購入するか、ワイルドカードとルートドメイン向けの証明書を別途取得してください。

ワイルドカード証明書の主な注意点

注意点	詳細
秘密鍵の共有リスク	ワイルドカード証明書では同一の秘密鍵を複数のサーバーで使う場合があります。1台が侵害されると他のサーバーのSSL通信もリスクにさらされます。サーバーごとに個別証明書を使う方が安全です。
EV（拡張認証）非対応	EV SSL証明書ではワイルドカードを使用できません（CA/Bフォーラムの規定）。EV証明書が必要なドメインは個別に取得してください。
Certificate Transparency ログ	ワイルドカード証明書を取得しても、各サブドメインがCTログに記録されるわけではありません。ただしDNSで列挙される可能性はあります。
DCV（ドメイン所有権確認）	ワイルドカード証明書のDCVはDNSレコード方式のみに限定されている認証局があります。ファイル方式やメール方式が使えない場合があります。

マルチドメイン（SAN）との使い分け

ワイルドカード証明書とSAN（マルチドメイン）証明書の使い分け目安：

ワイルドカード証明書が向いている：同一ドメインのサブドメインが多数あり、今後も増える可能性がある場合
SAN証明書が向いている：複数の異なるドメイン（例：example.com と example.jp）を1枚でカバーしたい場合
組み合わせ：*.example.com と *.example.jp を1枚の証明書でカバーする「ワイルドカード SAN」もあります（認証局・製品による）

よくある質問

Q. ワイルドカード証明書で example.com（ルートドメイン）もカバーできますか？: 通常の *.example.com ではルートドメインはカバーされません。ルートドメインもカバーしたい場合は、SANに example.com を追加したワイルドカード証明書を選択してください。当社取扱製品の対応状況は各製品ページでご確認ください。
Q. ワイルドカード証明書のCSRで入力するOrganization Nameは何でもよいですか？: DV（ドメイン認証）証明書ではOrganization Nameは認証に使われないため、英語表記であれば任意の値でかまいません。OV（企業認証）証明書では登記上の法人名と一致させる必要があります。
Q. 既存のCSR（秘密鍵）でワイルドカード証明書を更新できますか？: 技術的には可能ですが、セキュリティのため更新時には新しい秘密鍵とCSRを生成することを推奨します。特に秘密鍵の漏洩が疑われる場合は必ず新規生成してください。詳細は更新されたSSL証明書のインストールについてを参照してください。

FAQ／情報 SSL証明書