QA@IT
«回答へ戻る

760
 一般名はサーバのFQDNです。エラーになっているのはブラウザの接続先がwebsvで、サーバ証明書のサブジェクト内の一般名がwww.AD1.test.localで、別サイトになっているからです。サーバのFQDNはwebsv.test.localか、www.websv.test.localあたりでしょうか。
+
+**追記**
+
+上記の記述はブラウザの接続先をwebsvでなくFQDN(websv.test.localやwww.websv.test.localなど)にする前提です。あえてブラウザの接続先をwebsvにしたいなら、サブジェクト内の一般名もwevsvに合わせる必要があります。手動でやっているようなので、やろうと思えば簡単にできるのではないかと思います。ただそれだと名前が組織内で一意にならないので、一般的にはFQDNにすることが多いと思います。
+
+Microsoftの[証明書テンプレートを構成する - サブジェクト名](http://technet.microsoft.com/ja-jp/library/cc753994.aspx)も参考になるかもしれません。
+
+> サブジェクト名は、どのユーザーまたはどのようなものがサブジェクトになるかによって大きく異なるため、証明書の要求の中でサブジェクト名を指定するときには、ある程度の柔軟性を持たせる必要があります。Windows により、Active Directory ドメイン サービス (AD DS) に保存されているサブジェクト情報から自動的にサブジェクト名を構築することも、サブジェクトによって手動でサブジェクト名を指定する (たとえば、証明書の登録 Web ページを使用して証明書要求を作成して送信する) こともできます。 
+
+とあり、手動の場合は任意だと思いますが、自動の場合は下の4種類の形式が選べるようです。
+
+サブジェクト名の形式
+
+- 共通名
+
+> CA は、AD DS から取得した共通名 (CN) からサブジェクト名を作成します。この名前はドメイン内で一意である必要がありますが、企業内で一意である必要はありません。
+
+- 完全な識別名 (DN)
+
+> CA は、AD DS から取得した完全な識別名からサブジェクト名を作成します。これにより、サブジェクト名は企業内で一意になります。
+
+- サブジェクト名に電子メール名を含める
+
+> 電子メール名フィールドが Active Directory ユーザー オブジェクトに設定されている場合、この電子メール名が、共通名または完全な識別名と併せてサブジェクト名に含まれます。
+
+- なし
+
+> この証明書には名前の値は必要ありません。

一般名はサーバのFQDNです。エラーになっているのはブラウザの接続先がwebsvで、サーバ証明書のサブジェクト内の一般名がwww.AD1.test.localで、別サイトになっているからです。サーバのFQDNはwebsv.test.localか、www.websv.test.localあたりでしょうか。

追記

上記の記述はブラウザの接続先をwebsvでなくFQDN(websv.test.localやwww.websv.test.localなど)にする前提です。あえてブラウザの接続先をwebsvにしたいなら、サブジェクト内の一般名もwevsvに合わせる必要があります。手動でやっているようなので、やろうと思えば簡単にできるのではないかと思います。ただそれだと名前が組織内で一意にならないので、一般的にはFQDNにすることが多いと思います。

Microsoftの証明書テンプレートを構成する - サブジェクト名も参考になるかもしれません。

サブジェクト名は、どのユーザーまたはどのようなものがサブジェクトになるかによって大きく異なるため、証明書の要求の中でサブジェクト名を指定するときには、ある程度の柔軟性を持たせる必要があります。Windows により、Active Directory ドメイン サービス (AD DS) に保存されているサブジェクト情報から自動的にサブジェクト名を構築することも、サブジェクトによって手動でサブジェクト名を指定する (たとえば、証明書の登録 Web ページを使用して証明書要求を作成して送信する) こともできます。

とあり、手動の場合は任意だと思いますが、自動の場合は下の4種類の形式が選べるようです。

サブジェクト名の形式

  • 共通名

CA は、AD DS から取得した共通名 (CN) からサブジェクト名を作成します。この名前はドメイン内で一意である必要がありますが、企業内で一意である必要はありません。

  • 完全な識別名 (DN)

CA は、AD DS から取得した完全な識別名からサブジェクト名を作成します。これにより、サブジェクト名は企業内で一意になります。

  • サブジェクト名に電子メール名を含める

電子メール名フィールドが Active Directory ユーザー オブジェクトに設定されている場合、この電子メール名が、共通名または完全な識別名と併せてサブジェクト名に含まれます。

  • なし

この証明書には名前の値は必要ありません。

一般名はサーバのFQDNです。エラーになっているのはブラウザの接続先がwebsvで、サーバ証明書のサブジェクト内の一般名がwww.AD1.test.localで、別サイトになっているからです。サーバのFQDNはwebsv.test.localか、www.websv.test.localあたりでしょうか。

**追記**

上記の記述はブラウザの接続先をwebsvでなくFQDN(websv.test.localやwww.websv.test.localなど)にする前提です。あえてブラウザの接続先をwebsvにしたいなら、サブジェクト内の一般名もwevsvに合わせる必要があります。手動でやっているようなので、やろうと思えば簡単にできるのではないかと思います。ただそれだと名前が組織内で一意にならないので、一般的にはFQDNにすることが多いと思います。

Microsoftの[証明書テンプレートを構成する - サブジェクト名](http://technet.microsoft.com/ja-jp/library/cc753994.aspx)も参考になるかもしれません。

> サブジェクト名は、どのユーザーまたはどのようなものがサブジェクトになるかによって大きく異なるため、証明書の要求の中でサブジェクト名を指定するときには、ある程度の柔軟性を持たせる必要があります。Windows により、Active Directory ドメイン サービス (AD DS) に保存されているサブジェクト情報から自動的にサブジェクト名を構築することも、サブジェクトによって手動でサブジェクト名を指定する (たとえば、証明書の登録 Web ページを使用して証明書要求を作成して送信する) こともできます。 

とあり、手動の場合は任意だと思いますが、自動の場合は下の4種類の形式が選べるようです。

サブジェクト名の形式

- 共通名

> CA は、AD DS から取得した共通名 (CN) からサブジェクト名を作成します。この名前はドメイン内で一意である必要がありますが、企業内で一意である必要はありません。

- 完全な識別名 (DN)

> CA は、AD DS から取得した完全な識別名からサブジェクト名を作成します。これにより、サブジェクト名は企業内で一意になります。

- サブジェクト名に電子メール名を含める

> 電子メール名フィールドが Active Directory ユーザー オブジェクトに設定されている場合、この電子メール名が、共通名または完全な識別名と併せてサブジェクト名に含まれます。

- なし

> この証明書には名前の値は必要ありません。

回答を投稿

一般名はサーバのFQDNです。エラーになっているのはブラウザの接続先がwebsvで、サーバ証明書のサブジェクト内の一般名がwww.AD1.test.localで、別サイトになっているからです。サーバのFQDNはwebsv.test.localか、www.websv.test.localあたりでしょうか。

一般名はサーバのFQDNです。エラーになっているのはブラウザの接続先がwebsvで、サーバ証明書のサブジェクト内の一般名がwww.AD1.test.localで、別サイトになっているからです。サーバのFQDNはwebsv.test.localか、www.websv.test.localあたりでしょうか。