すべての SSL 記事 SSL と証明書

サブドメインのSSL証明書:選択肢の解説

2026-05-09
subdomainwildcardsancertificatessl

サブドメイン(blog.example.comapi.example.comstaging.example.com)にHTTPSが必要な場合、3つの選択肢があります:

オプション1: ワイルドカード証明書(*.example.com

1つの証明書ですべてのサブドメインを自動的にカバーします — 将来作成するものも含めて。

メリットデメリット
無制限のサブドメインをカバーDNS-01チャレンジが必要(DNSアクセスが必要)
新しいサブドメインが即座に動作すべてのサブドメインに1つの秘密鍵(共有リスク)
管理する証明書は1つだけネストされたサブドメイン(a.b.example.com)は非対応
Let’s Encryptから無料ベアドメインは非対応(example.comを別途追加)

最適な用途: 多数のサブドメイン、頻繁に新しいものを追加。

*.example.com がカバーするもの:
  ✅ www.example.com
  ✅ blog.example.com
  ✅ api.example.com
  ✅ staging.example.com
  ✅ anything.example.com
  ❌ example.com (別途追加)
  ❌ sub.blog.example.com (ネスト)

ワイルドカード証明書の取得方法 →

オプション2: SAN証明書(特定のサブドメインをリスト)

証明書のSubject Alternative Nameフィールドに各サブドメインを明示的にリストします。

メリットデメリット
HTTP-01チャレンジが使える(よりシンプル)各サブドメインを明示的にリストする必要あり
異なるベースドメインを混在可能サブドメインの追加に新しい証明書が必要
各名前が個別に検証されるLet’s Encrypt制限:証明書あたり100名
Let’s Encryptから無料サブドメインが頻繁に変わる場合、管理が増える

最適な用途: 小さな固定セットのサブドメイン(2〜5)。

SAN証明書はリストしたものだけをカバー:
  ✅ example.com
  ✅ www.example.com
  ✅ blog.example.com
  ❌ api.example.com (リストされていない場合)

GetHTTPSで必要なすべてのサブドメインを入力するだけです。

オプション3: サブドメインごとに個別の証明書

各サブドメインが独自の証明書を持ちます。

メリットデメリット
最大の分離(別々の鍵)管理オーバーヘッドが最大
独立した更新スケジュール追跡する証明書がサブドメインごとに1つ
1つの侵害が他に影響しないサーバー設定が多い
サブドメインごとにHTTP-01が使える

最適な用途: 異なるチームが管理するサブドメイン、セキュリティ分離が重要な場合。

比較表

ワイルドカードSAN個別
カバーされるサブドメインすべて(無制限)リストされたもののみ証明書ごとに1つ
新しいサブドメイン自動再発行が必要新しい証明書が必要
チャレンジタイプDNS-01のみHTTP-01またはDNS-01HTTP-01またはDNS-01
管理する証明書11N
セキュリティ分離共有鍵共有鍵分離された鍵
コスト(Let’s Encrypt)無料無料無料
最適な用途動的なサブドメイン固定セット(2〜5)チーム分離

よくあるシナリオ

example.comwww.example.comがある」

SAN証明書(最もシンプル)。GetHTTPSで両方の名前を入力。最も一般的なセットアップ。

wwwblogapidocsstagingサブドメインを運営」

ワイルドカード*.example.com + example.com)。現在と将来のすべてのサブドメインをカバー。

「各サブドメインが異なるクライアントのサイト」

個別の証明書。各クライアントが自分で管理。1つの侵害が他に影響しない。

example.com + example.org + サブドメインがある」

SAN証明書でドメイン + ワイルドカードを組み合わせ:example.com*.example.comexample.org。GetHTTPSはこれをサポート。

よくある質問

*.example.comexample.com自体をカバーしますか?

いいえ。ベアドメインは別途リストする必要があります。GetHTTPSで*.example.comexample.comの両方を追加してください。詳細 →

1つの証明書にワイルドカードと特定のドメインを混在できますか?

はい。1つのLet’s Encrypt証明書に*.example.comexample.comother.comをSANエントリとして含められます。証明書あたり最大100名。

どのオプションが最も安いですか?

3つすべてがGetHTTPS経由のLet’s Encryptで無料です。一部の商用認証局はワイルドカードに追加料金($200-500/年)やSANごとに$10-50を課金します。Let’s Encryptではコストは要因になりません。

サブドメインが別のサーバーにあります。同じ証明書を使えますか?

はい。同じfullchain.pemprivkey.pemを両方のサーバーにインストールしてください。証明書はどのサーバーにあるか知りません — ドメイン名のみを検証します。

関連記事

SSL と証明書 2026-05-07
ワイルドカードSSL証明書の解説
ワイルドカード証明書(*.example.com)は1つの証明書ですべてのサブドメインを保護します。ワイルドカードの仕組み、制限事項、無料での取得方法を解説します。
SSL と証明書 2026-05-07
マルチドメインSSL証明書(SAN)
マルチドメインSAN証明書は1つの証明書で複数の異なるドメインを保護します。SANの仕組み、ワイルドカードとの使い分け、GetHTTPSでの取得方法を解説します。
はじめに 2026-05-07
無料ワイルドカードSSL証明書の取得方法
GetHTTPSを使用してLet's Encryptから無料のワイルドカードSSL証明書(*.example.com)を取得。DNS-01チャレンジのみ必要。Cloudflare、Route 53、GoDaddy、NamecheapでのDNS設定方法を解説します。
SSL と証明書 2026-05-08
どのSSL証明書が必要?選択ガイド
どのSSL証明書を取得すべきかわからない方へ。DV vs OV vs EV、単一 vs ワイルドカード vs マルチドメイン、無料 vs 有料、あらゆるシナリオの推奨事項を解説します。
ブラウザで無料 SSL 証明書を取得
インストール不要、アカウント不要。秘密鍵は常にデバイスに残ります。
証明書を取得