サーバ管理者必見！

失敗しない SSL サーバ証明書導入のキホン

日本ジオトラスト株式会社

2

ジオトラスト 製品資料 May 2011

概要 SSL（Secure Sockets Layer）サーバ証明書には、証明書が発行されたサーバを特定しク

ライアント/サーバ間の通信内容を暗号化する機能と「サーバ証明書」という名称が示す

ようにインターネット上のサーバを特定するという証明書の機能があります。この機能

を用いることで安全なウェブサイトを構築し、ウェブサイトやウェブサービスの訪問者

に安心して利用してもらうことができるようになります。ただし、SSL サーバ証明書の

インストールが適切に行われていないとエラーメッセージや警告画面が表示され、逆に

ウェブサイトの訪問者やウェブサービスの利用者を不安にさせてしまいます。

SSL サーバ証明書の導入は決して難しい作業ではありません。作業内容と手順がわかっ

ていれば、導入と検証に要する時間は短時間で済みます。しかし、SSL サーバ証明書の

設定は多くても年に数回程度です。先回設定してから次に証明書を更新するまでの間に

手順を忘れてしまったり、当時の手順書が見当たらなかったりして設定方法を調べ直し、

内容を思い出すことから始めることもあります。結果、予想以上の時間がかかってしま

い、どうしても煩雑な作業になりがちです。

当資料では、このような問題を解決するためにサーバ管理者が見落としがちな点や注意

しておくべき点をピックアップしてわかりやすく解説していきます。作業の前に一読し

ておくと、設定時に発生しやすいトラブルを回避して導入に関する時間の浪費を防ぐこ

とができるでしょう。また、巻末の付録には、各種チェックリスト、およびトラブルシュー

ティング集を掲載しています。作業をしながら必要な項目のみ確認していくのもよいで

しょう。SSL サーバ証明書の導入手順書、また設定後の確認書として是非ご活用くださ

い。

※ 当資料は、日本ベリサイン株式会社が公開するSSLサーバ証明書資料「サーバ管理者必見！ 失

敗しない SSL サーバ証明書導入のキホン」を元に同社からの許諾を得た上で日本ジオトラス

ト株式会社のウェブサイトに公開する資料として改編しています。

原典については、日本ベリサイン株式会社のウェブサイトにて公開されています。

サーバ管理者必見！ 失敗しない SSL サーバ証明書導入のキホン

https://www.verisign.co.jp/welcome/pdf/wp_sidmanager.pdf

3

ジオトラスト 製品資料 May 2011

SSL サーバ証明書 設定 5 つのキホン - これだけは確認しよう SSLサーバ証明書を申請してからSSLを利用可能にするまでの一連の作業における注意

点を 5 つのポイントとしてまとめました。実際に作業にとりかかる前にそれぞれのポイ

ントについて理解しておくと、作業をスムーズに行えます。

1. 申請内容を確認する

2. 中間認証局証明書をインストールする

3. SSL を有効にする

4. 安全な SSL 通信を確保する

5. エラーは 2 種類に分けて対処する ※ SSL サーバ証明書の申請からインストールまでの手順、およびインストール方法については当

資料の巻末に添える付録を参照してください。

1. 申請内容を確認する 1-1. 申請情報と書類の用意 日本ジオトラストが発行する SSL サーバ証明書「ジオトラスト クイック SSL プレミア

ム」を申請する際は、下記の情報とデータが必要になります。

1. 申請団体情報

2. 申請責任者情報

3. CSR SSL サーバ証明書の種類によっては、証明書を取得する企業･団体の身元やウェブサイト

の管理権限について確認するために、上記以外にも内容を証明する書類の提出が要求さ

れることがありますが、ジオトラスト クイック SSL プレミアムでは書類の提出は不要

です。

申請時に必要な情報（ジオトラスト クイック SSL プレミアムの場合） 申請団体 SSL サーバ証明書を導入するウェブサイトを運営している組織・団体、個人

申請責任者 SSL サーバ証明書の取得に際しての責任者

CSR サーバを特定するための情報として、コモンネームやウェブサイトの運営者、

鍵情報を含むテキスト形式のデータ

1-2. CSR の生成 CSR（Certificate Signing Request）とは、認証局の電子署名がされた証明書を発行して

もらうために認証局に提出するテキスト形式のデータです。認証局は各社が規定した発

行審査が完了した後に提出された CSR に電子的な署名を行います。認証局によって電子

署名されたデータが証明書となります。

CSR は、SSL サーバ証明書をインストールするサーバから生成しますが CSR を生成す

る際、あらかじめディスティングイッシュネームを決めておく必要があります。

ディスティングイッシュネームは証明書のプロパティ＞詳細タブ＞サブジェクトの項目

に表示される情報です。ウェブサイト利用者が閲覧するため、正確に記述する必要があ

4

ジオトラスト 製品資料 May 2011

ります。部門名（OU = Organizational Unit）には、お客様が指定した情報のほかに複

数の追加情報が表示されることがありますのでご注意ください。

証明書のプロパティ情報

ディスティングイッシュネームの内、 も重要な情報はコモンネーム（CN = Common

Name）です。SSL サーバ証明書はホスト名を含む特定のドメイン名で使用するように

設定されています。CSR に含まれるコモンネームは、実際に運用するウェブサイトの

FQDN（= Fully Qualified Domain Name）と一致している必要があります。間違えて

設定するとウェブサイトの FQDN と一致していないという理由によって SSL 接続時に

エラーが発生します。この問題を解消するには、CSR を生成し直し、別の新しい証明書

を申請・取得しなければならないため、CSR を 生成する時は注意してください。

コモンネーム 例 運営するウェブサイト コモンネーム

https://www.geotrust.co.jp/index.html → www.geotrust.co.jp

https://storefront.geotrust.co.jp/index.html → storefront.geotrust.co.jp

SSL サーバ証明書は、ウェブサイトのページ単位ではなくウェブサーバに対して発行さ

れます。例えば、www.geotrust.co.jp というウェブサーバで SSL サーバ証明書を取得し

ている場合は、../index.html や../register.html のようなページや ../support/index.html

詳細タブ

サブジェクトの項目

ディスティングィッシュネームとして 指定した情報

証明書のプロパティ

5

ジオトラスト 製品資料 May 2011

のようなディレクトリにおいて SSL 接続が行われるように設定可能です。ただし、

storefront.geotrust.co.jp のように別のウェブサーバで SSL 接続を行うためには、発行

対象が異なるため storefront.geotrust.co.jp の SSL サーバ証明書を取得する必要があり

ます。www.geotrust.co.jp で取得した SSL サーバ証明書を storefront.geotrust.co.jp で

利用するとウェブブラウザでアクセスした時に警告画面が表示されます。

2. 中間認証局証明書をインストールする 2-1. 中間認証局証明書のインストール ウェブブラウザ（HTTP 通信におけるクライアント）は、SSL サーバ証明書が設定され

たサーバから送付された証明書の署名、中間認証局証明書1の署名、およびルート認証局

証明書2を照合してその信頼性を検証します。SSL サーバ証明書はルート認証局証明書を

アンカートラストとする階層構造になっているため、SSL サーバ証明書と 上位のルー

ト認証局証明書までのパス（またはチェーンと表される場合もあります）を確立するた

めには、中間認証局証明書の設定が必要です。SSL サーバ証明書をサーバにインストー

ルする際は、中間認証局証明書のインストールも忘れないようにしてください。

証明書のパス

www.geotrust.co.jp のウェブサイトで利用されている SSL サーバ証明書（ジオトラスト

クイック SSL プレミアム）の証明書階層構造 GeoTrust Global CA のルート証明書をアンカートラストとして、三階層目にある www.geotrust.co.jp まで

のチェーンを確立している。上位に位置する認証局証明書は下位に位置する証明書を認証しており、下位に位

置する証明書は上位に位置する認証局証明書を検証することでチェーンが確立される。

また、認証局事業者はセキュリティ対策の一環として新しい中間認証局証明書を発行、

または入れ替える場合があります。証明書を更新する際は必ず発行された SSL サーバ証

明書と中間認証局証明書の組み合わせが正しく設定されていることを確認してください。

中間認証局証明書が正しく設定されていないと SSL 接続時にエラーが発生し、クライア

ントのウェブブラウザに警告画面が表示されてしまいますので注意してください。

2-2. 4 階層以上の SSL サーバ証明書 証明書が 4 階層で構成されている場合は、発行された SSL サーバ証明書に加えて、2 種

類の中間認証局証明書をインストールする必要があります。

ルート認証局証明書

発行された証明書（End-Entity）

中間認証局証明書

6

ジオトラスト 製品資料 May 2011

サーバアプリケーションによっては、中間認証局証明書をインストールする順番が決ま

っていて、正しい手順で設定を行わないと、 上位のルート認証局証明書まで検証でき

ない場合がありますので注意してください3。

ジオトラスト クイック SSL プレミアムにおいては、旧い携帯電話端末による SSL 接続

への対応率を高めるためにクロスルート方式を採用しています。ジオトラスト クイック

SSL プレミアムのクロスルート方式では 2 種類の中間認証局証明書をインストールする

必要があります。

2-3. 正しくパスをたどれるか？ SSL サーバ証明書をインストールした後は、必ず中間認証局証明書が正しく設定されて

いるかどうかを確認してください。中間認証局が正しく設定されているかどうかを確認

するためには、Internet Explorer 以外のウェブブラウザで SSL サーバ証明書を設定した

ウェブサイトにアクセスをしてください。

Internet Explorer の幾つかのバージョンでは、中間認証局証明書を自動的にダウンロー

ドし、証明書チェーンを補完する機能を備えているため、中間認証局証明書がウェブサー

バにインストールされていない場合でも証明書の検証が完了する場合があります。

も望ましいことはサーバ側から設定を確認することですが、サーバ側からの確認が難

しいような場合は、複数の主要なウェブブラウザを利用しながらアクセスして確認する

と、ウェブサイトを利用するお客様と近い利用環境によって確認を行えるようになりま

す。

3. SSL を有効にする 3-1. サーバの設定 SSL サーバ証明書と中間認証局証明書をインストールした後はサーバの設定を確認して

ください。サーバアプリケーションの種類によっては、SSL を有効にする設定やサーバ

の再起動が求められることがあります。サーバ設定方法の詳細は、サーバアプリケーショ

ンの開発元が提供するマニュアルやユーザガイド、またはサービスを提供する事業者が

開設するサポートコンテンツを確認してください。

3-2. HTTPS 専用ポートの指定 一般的に、HTTPS接続（SSLによる暗号化通信がされる状態）の場合は、HTTPとHTTPS

の通信を判別するためにそれぞれに異なるポートを割当てます。SSL 専用のポート番号

（標準：443）を指定し、ポート番号が正しく設定されていることを確認してください。

4. 安全な SSL 通信を確保する “SSL を設定すれば安全”、“SSL を設定したから通信の機密性は確保されている”と思

われていますが、実際には SSL サーバ証明書の秘密鍵が取得できれば SSL によって暗

7

ジオトラスト 製品資料 May 2011

号化された情報を復号化して情報を盗み取ることは可能です。

また、SSL 接続時に使われている暗号技術は強度が保たれているものから脆弱なものま

で様々存在します。以下では HTTPS 通信のセキュリティを 適化する方法について解

説しています。

4-1. 秘密鍵さえ取得できれば SSL を乗っ取ることができる！？ SSL サーバ証明書を利用した通信では、SSL 接続開始時に「公開鍵暗号」方式という暗

号化技術が用いられています。この方式では、公開鍵と秘密鍵が一対のペアとして作動

し、それぞれの鍵を用いて暗号化通信に用いる共通鍵データの暗号化・復号化を行って

います4。SSL サーバ証明書の場合、CSR を作成する際に公開鍵と秘密鍵のペア（キーペ

ア）を生成します。秘密鍵はサーバ側に保存され、公開鍵は証明書に組み込まれて広く

公開（配布）されます。公開鍵を用いて暗号化されたデータは、その対となる秘密鍵で

のみ復号化することができます。つまり、秘密鍵が漏洩すると安全な鍵情報の交換が行

えなくなり、理論的には SSL による暗号化通信に欠陥が発生するため安全性が維持でき

なくなってしまいます5。

秘密鍵の保存場所 「公開鍵暗号」方式を用いている場合、「秘密鍵（プライベート鍵）」は他の誰にも開示

してはならず、安全に管理する必要があります。しかし、厳重に保管しても運用の妨げ

になるようでは本末転倒になってしまいます。運用とセキュリティ対策を鑑みながら保

管方法を選択してください。バックアップしたキーペアは、セキュリティ上非常に重要

なデータであることに留意し、物理的なアクセス制限がなされた金庫に保管するなど、

厳重に管理することを推奨します。また、ネットワークを経由して鍵の受渡しをしなけ

ればならないような場合には必ず鍵情報そのものを暗号化してください。

秘密鍵の保管方法とメリット・デメリット一覧

秘密鍵の保管方法 安全性 メリット デメリット

1 専用のハードウェア

を用いて秘密鍵を暗

号化して保管する

高 ウェブサーバが侵入を受

けた場合でも、秘密鍵に

アクセスされることなく

保護できる

専用のハードウェアを用い

るため、ハードウェア分の追

加コストが必要になる

2 ウェブサーバ上の

ファイルに鍵を暗号

化して保存する

中 ・鍵がパスフレーズによ

って保護される

・追加コストは不要

・ ウェブサーバを再起動し

た場合に都度パスフレー

ズの入力が要求される

・ 暗号化されていない鍵を

容易に発見されてしまう

3 ウェブサーバ上の

ファイルに鍵を保存

する

低 ・運用が楽である

・追加コストは不要

万が一、サーバに侵入された

場合、通信内容を解読されて

しまう

8

ジオトラスト 製品資料 May 2011

4-2. 暗号化仕様 (Cipher Suite) の設定 SSL 通信中のクライアント/サーバ間で利用される「共通鍵暗号」の暗号化仕様の設定も

行ってください。クライアント（ウェブブラウザ）ではより多くのサーバとの接続を可

能とするため、SSL のプロトコルとしては弱いとされる暗号も含めて様々な暗号化仕様

（Cipher Suite）が実装されており、それぞれの優先順位を決めています。

サーバ側でどの暗号化仕様を優先的に利用するかを設定しないと、SSL 接続時に強度が

十分でない暗号化仕様が選択されていることが起こり得ます。より安全な通信環境を整

備するためには、予めサーバ側で「弱い暗号は利用しない」または「十分な強度が保た

れた暗号化仕様の順に選択する」など、適切な設定を行ってください6。

4-3. 暗号はいつか解読される！？ 暗号化アルゴリズムの安全性は、コンピュータの性能向上や暗号解読技術の進歩によっ

て徐々に低下していくため、常に安全な状態を保つために、より強度の高い暗号化技術

を取り入れていくことが求められています。そしてそれは SSL サーバ証明書においても

同じことが言えます。SSL を導入しているから今もこれからも「安全」なのではなく、

現在の技術による安全性はいつか「低下していく」ことを認識しておくことが必要です。

SSL を導入する際には、毎年同じ鍵長で CSR を作成するのではなく、公開鍵長がより長

いものを採用してCSRを作成することや中間認証局証明書やルート認証局証明書も含め

対策を講じている認証局を選択することが望ましいと言えます。

より安全な暗号化技術を取り入れていくことが望まれている一方で、SSL/TLS 通信に支

えられている情報システムやネットワークインフラの可用性を維持し続けたまま移行し

ていくことが重要であり、ジオトラストも積極的に取り組んでいます7。

5. エラーは 2 種類に分けて対処する SSL サーバ証明書をインストールしたのに SSL 接続ができない、あるいは接続した時に

ウェブブラウザに警告メッセージが表示されてしまう場合があります。このようなエ

ラーやトラブルの原因は大きく下記の 2 種類に切り分けて対応する必要があります。

エラーやトラブルの原因

1 サーバ側の設定に起因する事象

2 クライアント側の設定に起因する事象

SSL サーバ証明書の設定後にトラブルが発生した場合は、それぞれの側面から何らかの

設定不備がないかを確認してください。

5-1. サーバ側の設定に起因する事象 まず、インストールの際に見落としていた点、もしくは手順を飛ばしてしまった点がな

かったかを確認してください。巻末の付録を利用してもう一度正しくインストールされ

9

ジオトラスト 製品資料 May 2011

ているかチェックしてください。また、エラーには SSL 接続ができない場合と、警告

画面が表示される場合の 2 パターンに分かれます。巻末の付録では、各種エラー内容と

その原因、対処方法について紹介していますので、トラブルシューティングを行う際に

参考にしてください。

5-1-1. SSL サーバ証明書以外の要因 - HTTPS ページの構成要素 このメッセージはウェブブラウザから HTTPS として表示しようとするページ内に

HTTP（SSL でセキュリティ保護されていない）と HTTPS（SSL でセキュリティ保護

されている）のディレクトリに置かれたファイルを参照している場合に表示されます。

メッセージウィンドウ内にある「はい」を選ぶと、SSL での保護が効く状態になります

が、一部のコンテンツやファイルは読み込まれないため、画像が非表示となったり、レ

イアウトが崩れたりするなど、ウェブサイトの管理者が意図しない表示状態となります。

「いいえ」を選ぶとウェブページコンテンツが全て表示されますが、SSL によるセキュ

リティ保護が不十分な状態になり、SSL 通信が意味を成さなくなってしまいます。

この警告を回避するには、サイト管理者が画像ファイル、CSS、JavaScript などのファ

イルや FLASH などを参照する<embed>タグ、<object>タグに記述されている URL など

も HTTPS の絶対パスから参照するファイルとして記述する必要があります。または相

対パスで記述すること、つまりは SSL サーバ証明書が設定された同じウェブサーバに

ファイルを格納して読み込むということも一つの方法です。

エラーメッセージ

はい(Y)を選択すると HTTPS のディレクトリにないファイルは読み込まれないため、画

像の非表示やページのレイアウトが崩れて表示される状態になります。

10

ジオトラスト 製品資料 May 2011

5-2. クライアント（ブラウザ）側の設定 5-2-1. ルート認証局証明書 SSL 接続を確立するには、SSL サーバ証明書の発行元であるルート認証局証明書が予め

クライアントに「信頼されたルート認証局証明書」として登録されており、組み込まれ

ている必要があります。

信頼されたルート証明機関の表示

クライアントにルート認証局証明書が登録されていない場合は、Windows Update の機

能を利用するか、または認証局事業者が公開しているディレクトリから必要なルート認

証局証明書をインストールする必要があります。

クライアントの端末によって、搭載されているルート認証局証明書および証明書の登録

方法は異なります。SSL サーバ証明書を選定する際は、ウェブサイトのアクセス解析デー

タなどを利用しながら、ウェブサイトにアクセスしているクライアントで SSL 接続が可

能であることを確認してください。携帯電話端末など利用者自身が、ルート認証局証明

書を登録できない場合もありますので注意してください。巻末の付録では、代表的なウェ

ブブラウザとして Internet Explorer と Firefox にて搭載されているルート認証局証明書

の確認方法を紹介しています。

5-2-2. ブラウザのオプション設定 SSL 暗号化をより安全に利用するためには、ウェブブラウザを正しく設定する必要があ

ります。また、ウェブサイトのコンテンツとして利用者向けに設定方法について解説す

るコンテンツを掲載するという方法は安全にウェブサイトを利用するための有効な施策

信頼されたルート証明機関

発行先、発行元 ルート認証局証明書の有効期限

11

ジオトラスト 製品資料 May 2011

となります。インストール後に社内から SSL 接続テストを行う際の参考にしてください。

インターネット オプションの詳細設定画面（Internet Explorer 8 の表示例）

以下に挙げる 5 つの項目は、SSL 接続を確立し、安全に利用するためにチェックをオン

状態にしておくことが推奨される項目です。

1 SSL 3.0 を使用する

2 TLS 1.0 を使用する

3 サーバーの証明書失効を確認する*

4 証明書のアドレスの不一致について警告する*

5 発行元証明書の取り消しを確認する

SSL サーバ証明書と直接的な関係性は低いものの、安全にインターネットを利用するに

12

ジオトラスト 製品資料 May 2011

あたっては更に以下に挙げる項目についてもチェックをオン状態にしておくことが望ま

しいと言えます。

6 SmartScreen フィルター機能を有効にする8

7 ダウンロードしたプログラムの署名を確認する

また、チェックを付けることによって十分な安全性が保たれなくなる可能性がある項目

も存在します。以下に挙げる項目については、できる限りチェックをオフ状態にしてお

くことが望ましいです9。

8 SSL 2.0 を使用する

9 署名が無効な場合でもソフトウェアの実行またはインストールを許可する10

まとめ SSL サーバ証明書の導入は決して難しいものではありません。導入手順書やチェックリ

ストを事前に準備しておくことで、時間をかけずに簡単に完了することができます。今

回ご紹介した証明書インストール時の留意点やチェックリストを活用して、より効率的

な作業を実現してください。余分な時間をかけることなく SSL サーバ証明書を導入する

ことができるだけでなく、ウェブサーバに表示されるエラーを事前に解消しておくこと

で御社のウェブサイトを訪れるユーザに安心感を与えることができるようになるでしょ

う。

ジオトラスト クイック SSL プレミアム 日本ジオトラストが提供する SSL サーバ証明書製品「ジオトラスト クイック SSL プレ

ミアム」は、年間￥36,540～と安価ながら携帯電話端末を含めた多くのウェブブラウザ

に対してルート証明が組み込まれており、対応環境が幅広いことが特長になっています。

証明書の申請（取得手続き）から発行までに要する時間が短く、書類手続きも不要なた

めクライアント/サーバ間通信以外にもサーバ/サーバ間通信のように実在性認証を必要

としないが SSL 暗号化通信が必要とされるようなサービスにおいても多く採用されてい

る実績があります。ジオトラスト クイック SSL プレミアムのライセンス体系はライセ

ンスオプションフリーであり、SSL サーバ証明書を利用する FQDN が同一であれば取得

する証明書は 1ID だけで複数のサーバにインストールできるため、ライセンス体系・費

用面での優位性を備えています。そのため、負荷分散処理を行うような大規模なウェブ

サイトの場合、投資収益率の改善に大きな期待ができます。

日本ジオトラスト株式会社 https://www.GeoTrust.co.jp/

13

ジオトラスト 製品資料 May 2011

付録 1 SSL サーバ証明書 申請時のチェックリスト SSL サーバ証明書の申請とサーバへのインストール はじめに、SSL サーバ証明書を取得する手順について確認します。

次の表では、ジオトラスト クイック SSL プレミアムを例として証明書の申請からインストールまでの手順を紹

介しています。

申請プロセス プロセス 内容 作業区分

申請の準備 SSL サーバ証明書を取得するために必要な情報を準備します

申請団体名、申請責任者名、ディスティングィッシュネーム

CSR の生成 サーバから CSR（Certificate Signing Request：証明書署名リクエスト）

を生成します

オンライン申請 ジオトラストのオンライン申請ページ（ジオトラスト ストアフロント）で、

SSL サーバ証明書の申請をします

1 申請

入金 SSL サーバ証明書の料金を入金します

サーバ管理担当者

2 認証 ジオトラストが定める証明書の発行審査11（認証）を行います ジオトラスト

3 発行 入金と発行審査が完了した後に、申請担当者宛に SSL サーバ証明書を発行

します

ジオトラスト

インストール 作業には主に下記の内容が含まれます

・発行された SSL サーバ証明書のインストール

・中間認証局証明書のインストール

・キーペアのバックアップ

・SSL を有効にする設定

検証 クライアント（ウェブブラウザ、携帯ブラウザ）で SSL 接続 (https:// ～ )

が確立しているか、鍵アイコンが表示されているか、SSL サーバ証明書の

プロファイルが正しいか検証します

4 SSL サーバ証

明書の設定

シールの設定 ウェブサイトに SSL サーバ証明書が導入されていることを視覚的に示すた

めに、ジオトラストスマートシール12を掲載します（任意）

サーバ管理担当者

14

ジオトラスト 製品資料 May 2011

作業内容のチェックリスト 1 作業内容 チェック項目 関連するトラブル・影響範囲

□ CSRのコモンネームとして正しいFQDNを記載して

いる

SSL 接続の際に「ドメイン名の不一致」というエラーが

発生する

□ CSR に正しい組織名を入力している

特に“K.K”、“Ltd.”を含め正式な英文表記であるか、

入力ミスがないか確認する。

ウェブサイトに発行された証明書とウェブサイトの運営

元名称が異なるとエンドユーザの信頼性や、企業イメージ

を損なう原因となる

新規申請

□ 秘密鍵をバックアップしている SSL サーバ証明書をインストールする前にサーバトラブ

ルで秘密鍵を破損したり、キーペアの組み合わせを変更し

たりすると 発行された SSL サーバ証明書をインストー

ルできなくなる

更新申請 □ CSR 生成専用のディレクトリ配下（Apache など）も

しくは仮サイト（Microsoft IIS）を作成してから、秘

密鍵・公開鍵を生成しようとしている

現在運用中の SSLサーバ証明書の秘密鍵を上書きしてし

まうと、サーバの SSL 接続が停止してしまう

□ 発行された SSL サーバ証明書を正しくコピーしてイ

ンストールする

SSL サーバ証明書の発行通知メールから、コピー＆

ペーストする際に不要な改行やスペースが含まれて

いない

□ サーバ側に SSL サーバ証明書に含まれる公開鍵と対

になる秘密鍵が格納されている

□ 秘密鍵、SSL サーバ証明書、中間認証局証明書を指

定するファイルパスが誤っていない

□ 必要な中間認証局証明書をインストールしている

・ウェブサーバに、証明書をインストールできない

・SSL の接続エラーが発生する

インストール

□ 秘密鍵のバックアップを行っている 秘密鍵をバックアップしておくことによって、サーバ故障

時や災害時、ハードウェアの変更時に新しいサーバ環境に

移行できるようになります

バックアップがされていない場合は新しい SSL サーバ証

明書の取得が必要になりますので、バックアップを推奨し

ます

□ リプレイス先のサーバは、エクスポートした証明書と

秘密鍵のファイルをインポートできる仕様に対応し

ている

SSL サーバ証明書を新しい環境にインストールできないサーバリプレイス

□ 秘密鍵のバックアップを行っている 秘密鍵をバックアップしておくことによって、サーバリプ

レイスの時に新しいサーバ環境に移行できるようになり

ます

15

ジオトラスト 製品資料 May 2011

SSL サーバ証明書のインストール方法 SSL サーバ証明書のインストール方法はサーバアプリケーションによって異なります。日本ジオトラストでは、

参考情報として主なウェブサーバアプリケーションのインストール手順を以下 URL にて紹介しています。

サーバ設定方法の詳細は、サーバアプリケーションの開発元が提供するマニュアルやユーザガイド、またはサー

ビスを提供する事業者が開設するサポートコンテンツを確認してください。

ジオトラスト クイック SSL プレミアム インストール方法

Web サーバへのインストール手順 https://www.geotrust.co.jp/support/ssl/install/index.html

付録 2 SSL サーバ証明書 テスト・検証時のチェックリスト SSL サーバ証明書の動作検証 インストールが完了したら必ずテスト・検証を実施して、エラーや警告メッセージがクライアント（ウェブブラ

ウザや携帯ブラウザ、またその他の電子機器類など）で表示・発声しないかどうかを確認してください。警告メッ

セージが表示されたり、鍵アイコンが表示されなかったり、SSL 接続が正しく確立できないといった事象は、利

用者に対して不信感を与え、機会損失やウェブサイトのイメージが損なわれる原因となります。またサーバ/サー

バ間通信に SSL サーバ証明書を利用している場合には、通信が正しく行われないために金銭的な被害が発生し

てしまう可能性もあるため、必ずテストを行い正しく SSL 接続・通信がされていることを確認してください。

次の表は、テスト・検証項目の参考一覧です。ウェブサイトの性質やアクセス解析などの情報も参考にしながら、

必要に応じて項目を追加・変更して利用してください。エラーが発生する場合は、次のセクションを参考にして

問題を解決してください。

作業内容のチェックリスト 2 作業内容 チェック項目 関連するトラブル・影響範囲

□ SSL サーバ証明書をインストールし

たウェブサイトに https:// でアクセ

スできる

□ ウェブブラウザや携帯ブラウザの画

面に鍵アイコンが表示されている

SSL 接続ができない

クライアントからアクセスしている URL が（https://）

で始まっていれば、SSL 通信が確立していることを確認

できます。また、一般的に SSL 通信中はウェブブラウザ

や携帯ブラウザに施錠した南京錠のアイコンが表示され

ます

□ 証明書のプロファイルが意図したと

おりに表示されている

ウェブサイトに設定されている鍵アイコンをクリックし

て、SSL サーバ証明書の有効期間を確認してください

SSL サーバ証明書

インストール後のテスト・検証

□ ウェブサービス利用の推奨環境とす

る一個または複数のウェブブラウザ

で正しく SSL 接続できている

ブラウザにエラーや警告メッセージが表示される13

16

ジオトラスト 製品資料 May 2011

付録 3 SSL 接続エラーの種別と解決方法 次の表では、SSL サーバ証明書に関連するトラブルの原因と解決策について事象別にまとめています。

エラー発生時の原因と解決方法 エラー内容 原因 解決策

SSL サーバ証明書が不完全なデータとして

の設定されている

送 付 さ れ た SSL サ ー バ 証 明 書 の （ ----- BEGIN

CERTIFICATE ----） から （----- END CERTIFICATE

-----） までをテキストで保存する

SSL サーバ証明書をインストールする予定

の仮想サーバを削除してしまった

CSR の生成後、保留状態になっている仮想サーバを削除

してしまった場合は、再度 CSR を生成し直してください

証明書をインストールできない

（Microsoft IIS）

CSR を生成した仮想サーバと異なるサーバ

に SSL サーバ証明書をインストールしよう

としている

CSR を生成した仮想サーバであることを確認してインス

トールしてください

証明書をインストールできない

（Apache）

指定した SSL サーバ証明書と秘密鍵ファイ

ルの組み合わせが正しくない

正しい設定ファイルを指定する

・SSL Certificate Key File

申請した CSR（発行された証明書）と対になる秘密鍵

ファイルのパスとファイル名を指定する

・SSL Certificate File

証明書ファイルのパスとファイル名を指定する

SSL サーバ証明書が正しくインストールさ

れていない

現在有効になっている証明書のプロファイルを確認し、

SSL サーバ証明書が正しくインストール・設定されてい

るか検証する

フレームによる分割表示のページ構成にな

っていて、一部に HTTP のページが読み込

まれている

フレームとして表示するすべてのページを HTTPS の

ディレクトリから読み込むようにする

ページ構成を変更する

ウェブサイトに鍵アイコンが表

示されない

壊れた鍵アイコンや開錠された

鍵アイコンが表示される

HTTPS のページ内に、HTTP のディレクト

リに置かれたファイルやコンテンツが参照

されている

ファイルやコンテンツを HTTPS のディレクトリに置く

か、または相対パスで読み込まれるようにする

SSL のポート番号（標準：443）が正しく設

定されていない

SSL のポートやネットワーク設定を確認する

対象となるウェブサイトが停止している ウェブサイト、ウェブサービスの稼働状況を確認する

クライアントが提示する暗号化仕様とサー

バ側の暗号化仕様が一致していない

サーバアプリケーションが利用する暗号仕様の設定を見

直す

サーバに中間認証局証明書が正しくインス

トールされていない

SSL サーバ証明書に署名する中間認証局証明書をサーバ

にインストールする

https で接続できない

クライアントにルート認証局証明書が搭載

されていない

クライアントにルート認証局証明書を追加登録する

エラーが発生する

[警告メッセージ]

セキュリティ証明書の名前がサ

CSR 内のディスティングィッシュネームと

して指定されているコモンネームがウェブ

ブラウザに表示されている URL と異なる

正しいコモンネームで SSL サーバ証明書を取得し直す

17

ジオトラスト 製品資料 May 2011

イト名と一致しません

SSL サーバ証明書の有効期限が切れている 有効期間に十分な余裕のある SSL サーバ証明書をインス

トールする

[警告メッセージ]

有効期限が切れています

クライアントの日付・時刻が正しく設定され

ていない

クライアントの時間設定を確認する

クライアントにルート認証局証明書が登録

されていないため、SSL サーバ証明書の検

証ができない

クライアントにルート認証局証明書を追加登録する

信頼されている認証局から発行される SSL サーバ証明書

を取得して、サーバにインストールする

[警告メッセージ]

この Web サイトのセキュリティ

証明書には問題があります

中間認証局証明書がインストールされてい

ない

SSL サーバ証明書に署名する中間認証局証明書をサーバ

にインストールする

[警告メッセージ]

このページにはセキュリティで

保護されている項目と保護され

ていない項目が含まれています

[警告メッセージ]

セキュリティで保護された Web

ページコンテンツのみを表示し

ますか？

HTTPS（SSL）のコンテンツと、HTTP の

コンテンツが同じページに混合している

ファイルやコンテンツを HTTPS のディレクトリに置く

か、または相対パスで読み込まれるようにする

サーバにインストールされている SSL

サーバ証明書の有効期間が終了している

クライアントの時間設定を確認する

インストールした SSL サーバ証明書の有効期間を確認

し、有効期間が終了している場合は、有効期間に余裕の

ある SSL サーバ証明書をインストールする

中間認証局証明書がサーバにインストール

されていない

SSL サーバ証明書に署名する中間認証局証明書をサーバ

にインストールする

[警告メッセージ]

この接続先は安全でない可能性

があります

SSL サーバ証明書のコモンネームとクライ

アントが指定する URL が一致していない

CSR 生成時に入力したコモンネームを確認する14

SSL サーバ証明書のインストールに関するエラーの多くは、作業や設定方法を見直すことで簡単に解決すること

ができます。作業前後に各作業項目の漏れがないことを確認して、テスト・検証時のエラー発生数を削減する際

の参考にしてください。

18

ジオトラスト 製品資料 May 2011

付録 4 ルート認証局証明書の確認方法 ルート認証局証明書の確認 SSL サーバ証明書の階層構造において、アンカートラストに位置するルート認証局証明書は、ブラウザベンダの

基準によって選定され、予め組み込まれた状態で出荷・配布されます。

Internet Explorer の場合 - Internet Explorer 8 の表示例 1. [メニューバー] → [ツール] → [インターネットオプション]を開く。

インターネット オプションウィンドウが表示されます。

2. [コンテンツ]タブ → [証明書]ボタンをクリックします。

証明書ウィンドウが表示されます。

19

ジオトラスト 製品資料 May 2011

3. [信頼されたルート証明機関]タブを選択すると、Internet Explorer に登録されているルート認証局証明書が

確認できます。

Firefox の場合 - Firefox 4.0.1 の表示例 1. [メニューバー] → [ツール] → [オプション]を開く。

オプションウィンドウが表示されます。

20

ジオトラスト 製品資料 May 2011

2. [詳細]タブ → [暗号化]タブ → [証明書を表示]ボタンをクリックします。 証明書マネージャが表示されます。

3. [認証局証明書]タブを選択すると、Firefox に登録されているルート認証局証明書が確認できます。

4. 内容を確認したいルート認証局証明書を選択して[表示]ボタンをクリックすると、証明書ビューアが起動し

て、ルート認証局証明書の詳細な情報を確認できます。

21

ジオトラスト 製品資料 May 2011

CSR 生成時に指定するディスティングィッシュネーム 項目 指定する情報

名称 英語名称 内容 入力例

ジオトラスト クイック

SSL プレミアムの表示

コモン

ネーム Common Name SSL サーバ証明書を設

定するウェブサイトの

URL（FQDN = Fully

Qualified Domain

Name）を指定します

SSL 接続の際に指定す

る URL と一致している

必要があります

HTTPS://www,geotrust.co.jp/index.html

のウェブサイトの場合

www.geotrust.co.jp

HTTPS://secure.geotrust.co.jp//index.html

のウェブサイトの場合

secure.geotrust.co.jp

入力した情報がそのま

ま表示されます

組織名 Organization ウェブサイトを運営す

る組織・団体の名称を指

定します

個人として SSL サーバ

証明書を取得する場合

は、個人名を指定します

組織・団体の場合

GeoTrust Japan, Inc.

個人の場合

Taro Ninsho

指定した情報は表示さ

れません（コモンネー

ムが表示されます）

部門名 Organizational

Unit

ウェブサイトを運営す

る組織・団体に属する部

門名を指定します

任意の識別文字列も指

定可能です

Direct Marketing Division

SSL

WEB など

指定した情報は表示さ

れません

（GeoTrust, Inc.が指

定する文字列が表示さ

れます）

市区町村

名 Locality 所在地情報（市区町村

名）を指定します

Kawasaki-Shi

Chuo-ku など

指定した情報は表示さ

れません

都道府県

名 State or

Province

所在地情報（都道府県）

を指定します

Kanagawa

Tokyo など

指定した情報は表示さ

れません

国別番号 Country 日本を示す国コードと

して JP を指定します

JP 入力した情報がそのま

ま表示されます

・ 全ての情報を半角英数文字で入力してください

・ CSR の生成手順は、サーバに付属するマニュアルか開発元に確認してください

Copyright ©2011 GeoTrust Japan Inc. All rights reserved. GeoTrust, GeoTrust ロゴ, GeoTrust design およびその他名称、サービスマークおよびロゴは米国 GeoTrust Inc.又は関連会

社の米国又はその他の国における登録商標又は商標です。その他記載されている会社名、製品名は、各社の登録商標又は商

標です。

ジオトラスト 製品資料 May 2011

文末脚注

1 中間認証局証明書は、認証局によって中間CA 証明書と表現されることもあります。当資料においては

中間認証局証明書として表記を統一しています。

2 ジオトラストやベリサインのような認証局事業者のルート認証局証明書（ルートCA 証明書）は、ウェ

ブブラウザや携帯電話端末に予め組み込まれています。

3 代表的なサーバアプリケーションの設定手順として、Apache + OpenSSL 環境での 4 階層の証明書イン

ストール手順を日本ベリサイン株式会社のウェブサイトにて掲載しています。 Apache + OpenSSL 中間認証局証明書のインストール手順 https://www.verisign.co.jp/ssl/help/install/iapache_new_intca_evs.html

4 SSL 接続の仕組み（SSL ハンドシェイク）は、日本ジオトラストのウェブサイトからダウンロード可能

なPDF にて紹介しています。 ジオトラスト SSL ハンドブック（PDF：100KB） https://www.geotrust.co.jp/products/ssl_certificates/pdf/ssl_hdbk.pdf

5 実際、悪意を持ったクラッカーや攻撃者はウェブサーバやデータベースに侵入してデータを盗むことを

試みることが多く、SSL の通信内容を解読するためだけに秘密鍵を盗み取ろうとするケースは少ないと

されています。

6 参考：NIST（アメリカ国立標準技術研究所）が現在推奨するTLS1.0 における暗号セット（Cipher Suite）の設定リスト Guidelines for the Selection and Use of Transport Layer Security (TLS) Implementations（PDF：279KB） http://csrc.nist.gov/publications/nistpubs/800-52/SP800-52.pdf Ref Page 27 Table 3:Recommended Server Cipher Suites

7 本ケースについては、グループ会社である日本ベリサイン株式会社にて解説資料を公開しています。 「暗号アルゴリズムにおける 2010 年問題」対応ガイド（PDF：2,193KB） https://www.verisign.co.jp/welcome/pdf/wp_2010i.pdf

8 SmartScreen フィルター機能は、詐欺サイトや悪意のあるサイトによるデータ、プライバシー、ID の悪用からユーザを保護し、より安全にインターネットを利用できるように設計されている機能です。詳細

については機能開発・提供元であるマイクロソフト社のウェブサイトにてご確認ください。

9 当資料においては、インターネットをより安全にご利用いただく方法としてチェックのオン・オフを掲

載しています。チェックをオフ状態にしておくことが望ましいとした 2 つの項目については、クライア

ントの利用環境によってはオン状態にすることによって 適に利用できる場合がありますので、チェッ

クをオン状態にする際はウェブサイトやウェブサービスの利用時に要求されているSSL のバージョン

や組織内で定めるソフトウェアの利用ルールなどに則って、正しく設定を行ってください。また、当資

料においては、ジオトラスト クイックSSL プレミアム、また日本ベリサインが提供する製品に関連す

る機能の項目についてオン・オフ状態の推奨をしています。その他のセキュリティに関連する項目につ

いては触れていません。

10 インターネットからダウンロードしたソフトウェアを実行またはインストールする場合は、ソフトウェ

アの提供・配布元の情報をファイルに署名された電子署名によって確認するようにしてください。

11 ジオトラスト クイックSSL プレミアムでは、ドメイン名のデータベースであるWHOIS に登録されて

いるドメイン名の登録担当者の連絡先情報を用いた認証を行います。ドメイン認証については下記URLにて解説しています。 https://www.geotrust.co.jp/support/ssl/faq/900013/index.html

12 ジオトラストスマートシールは、ジオトラストのSSL サーバ証明書が発行されたコモンネームのウェ

ブサイトに対して掲載できる無料のシールです。HTML 内のシールを表示させたい箇所にスクリプトを

追加いただくことで表示されるようになります。シールのスクリプトについては下記URL から取得可

能です。 https://www.geotrust.co.jp/support/ssl/seal/index.html

13 ジオトラスト クイックSSL プレミアムのPC ブラウザ・携帯端末対応一覧については下記URL を確

認してください。 https://www.geotrust.co.jp/resources/compatibility_listing/index.html

14 一部の携帯端末では、コモンネームの大文字・小文字の一致までを確認している場合があります。