こんにちは！NW部のSです！

みなさん、Webサイトにアクセスしたときに「証明書エラー」が出た経験、ありませんか？
こんな画面です↓

この原因としてよくあるのは、

• 端末にルート証明書が入っていない
• 証明書の有効期限が切れている
• 証明書の作り方が間違っている

このあたりです。
今回は特に「証明書のCN（Common Name）にIPアドレスを使う場合の注意点」についてお話します。

CN(Common Name)って何

CN(Common Name)とは証明書に記載される「識別名」のことです。
ここには通常、FQDN（例：example.com）やIPアドレスを入れます。
基本的にはFQDNを使用ことが多いですが、検証環境やローカル環境で自己署名証明書を作るときでは、IPアドレスをCNに入れるケースもあると思います。

IPアドレスをCNに使うと何が問題

HTTPSの仕様上、CNは「Subject Alternative Name（SAN）」の値と一致させる必要があります。
特に、CNにIPアドレスを使用する場合は、SANのタイプとして「iPAddress subjectAltName」を指定しなければなりません。
※FQDNの場合は一般的に「dNSName」が使われています。
ここで、CNとSANの値が違ったり、SANのタイプを間違えたりすると、「証明書エラー」が出てしまいます。

具体的にはどう作ればいい

CNにFQDNを入れる場合
→ dNSNameにもCNと同じFQDNを記載する

CNにIPアドレスを入れる場合
→ iPAddress subjectAltNameにCNと同じIPアドレスを記載する

実際の証明書では、このように表示されます。

この証明書を端末にインストールすると証明書エラーにならず、「HTTPS」アクセスができるようになります。

まとめ

証明書エラーが出たら、表示されるエラー内容と証明書のCNやSANのFQDN/IPアドレスが合っているか、ぜひチェックしてみてください！