仕様・ライセンスについて

サーバ証明書の必要枚数とライセンス数について教えてください。
サイバートラストのSSLサーバ証明書の必要枚数、必要ライセンス数の基本的な考え方は以下となります。

「SSL通信を行いたいサーバ数(※)× FQDN(コモンネーム)」
(※)物理的サーバ台数、および、仮想サーバ数も含みます。

上記に加えて、同FQDN(コモンネーム)でポート/プロトコルが異なる場合  

FQDN(コモンネーム) × ポート・プロトコル数

例)FQDN「aaa.cybertrust.ne.jp」と「bbb.cybertrust.ne.jp」で、「http/https(443/10443ポート)/ftps」を利用する場合

FQDN プロトコル ポート ライセンス 小計 必要枚数
aaa.cybertrust.ne.jp http 80 0 3 6枚分
https 443 1
https 10443 1
ftps 990 1
bbb.cybertrust.ne.jp http 80 0 3
https 443 1
https 10443 1
ftps 990 1

なお、負荷分散のサーバ環境の場合など、SSL接続されるコンテンツを含むサーバが複数台ある場合には、実際にサーバ証明書をインストールする機器台数分ではなく、同時稼動のサーバ台数分のSSLサーバ証明書ライセンスをご申請いただく必要があります。
※ご申請に使用するCSRファイルは実際にサーバ証明書をインストールする機器台数分を作成してください。

例)ロードバランサーの配下にWebサーバを5台接続し負荷分散をしている冗長化構成で、ロードバランサーがSSLアクセラレーションを行う場合

項目 必要数 説明
必要ライセンス数 5枚分 配下に接続している
サーバ台数分必要です。
必要なCSRファイル数 1枚分 ご申請時は同じCSRファイルを
繰り返し使用します。
サーバ証明書のインストール先 1枚分 ロードバランサーへインストールします。

また、複数のサーバ上で同時に稼動しないホット/コールドスタンバイは、証明書をコピーしてご利用いただけます。この場合は、申請する証明書は1枚分となります。

代表的なシステム構成と必要ライセンスの詳細については、以下をご覧ください。
システム構成 システム目的 SSL暗号化対象マシン コモンネーム(サーバ名)の数 コモンネームの数に対応して必要なSSLサーバ証明書の枚数またはライセンス数
バーチャルホスト 1台のサーバで複数のFQDNを持つサイトを提供する Webサーバ n n
(コモンネームと同数)
ラウンドロビン 負荷分散のため複数のサーバでアクセスを分散する Webサーバ 1の場合 複数
(WEB Serverの台数)
キャッシュサーバ データを一時的に保有し、同一データにアクセスする際の効率化を図る Cacheサーバ 1の場合 複数
(Cacheサーバの台数)
SSLアクセラレーター サーバに代わってSSL通信の処理を行なう SSLアクセラレーター 1の場合 複数
(WEB Serverの台数)
ホットスタンバイ 同構成のシステムを2系統用意し信頼性を向上させる Webサーバ 1の場合 1
(本番系と待機マシン間でのコピー可)
サーバ証明書ライセンス数
※クラウドサービスに関するライセンス体系については、以下をご参照ください。
page top
サイバートラストのSSLサーバ証明書の階層について教えてください。
サイバートラストのSSLサーバ証明書は、ルートCA証明書、中間CA証明書、サーバ証明書の3階層からなっています。
※4階層構造(クロスルート方式)の証明書階層については、以下をご覧ください。
■サイバートラストのSSLサーバ証明書の階層
サイバートラストのSSLサーバ証明書の階層

ルートCA証明書

ルートCA証明書は、Webブラウザからサーバに接続する際、SSLサーバ証明書の階層構造を検証するために、Webブラウザ側に必要な証明書です。
ルートCA証明書は、主要なブラウザにあらかじめ設定されていますので、ブラウザ側では特に意識することなく、SSLサーバ証明書を使用したサーバにSSL接続することができます。
また、各社携帯端末にもあらかじめ設定されていますので、これらの携帯端末からもSSLサーバ証明書を使用したサーバにSSL接続が可能です。

携帯端末対応の詳細については以下のページをご覧ください。

中間CA証明書

中間CA証明書は、SSLサーバ証明書を直接発行しているCAの証明書です。
この証明書は、ブラウザや携帯電話からサーバにSSL接続する際、SSLサーバ証明書の階層構造を検証するために必要な証明書です。
中間CA証明書は、ブラウザにあらかじめ設定されていませんので、サーバ側に設定する必要があります。(サーバ側に設定しない場合は、接続する全ブラウザに設定する必要がありますのでご注意ください)

サーバ証明書

お客様のサーバの実在性を証明し、SSL暗号化通信を可能にします。
page top
SSLサーバ証明書のフォーマットは何ですか?
サイバートラストのSSLサーバ証明書は、『X.509v3』標準準拠です。
page top
CSRファイルと証明書の形式は何ですか?
形式は以下のとおりです。
  • CSR (Certificate Signing Request) ファイル:PKCS#10形式
  • 証明書(Certificate)ファイル:PKCS#7形式
ともに、text encodingされたものを利用・発行します。
page top
証明書に使用できる文字/できない文字は何ですか?
SSLサーバ証明書中で使用できる文字は以下のとおりです。
  • 半角英数字(a~z, A~Z, 0~9)
  • 日本語と記号「"」「#」「;」「+」は使用できません。
  • CSR作成時に使用可能な記号の種類はお使いのWebサーバにより使用制限が異なります。
    詳細はお使いのWebサーバのマニュアルをご参照ください。
page top
証明書に文字数制限はありますか?
各項目の最大文字数は半角64文字(半角スペースを含む)です。

最大文字数を超過する場合は、( ) までご連絡ください。
page top
日本語ドメイン名に対応していますか?

サイバートラストの SSL サーバー証明書は、日本語ドメイン名に対応しております。

日本語ドメイン名を URL として指定したい場合、Punycode(ピュニコード)表記へ変換後の FQDN でご申請ください。

例) 「https://ドメイン名例.JP/...」を URL として指定したい場合

日本語ドメイン名「ドメイン名例.JP」を Punycode 表記「xn--eckwd4c7cu47r2wf.jp」へ変換

xn--eckwd4c7cu47r2wf.jp」をコモンネームとして CSR を作成・申請

日本語ドメイン名の対応状況

主要なブラウザは日本語ドメイン名に対応しています。詳細はコチラをご覧ください。

接続先 クライアント環境
PC ブラウザ Android iOS 携帯電話
日本語ドメイン ×(※)
Punycode 表記

※ 一部の機種を除き、SSL 接続エラーとなります。対応機種の詳細は、以下をご覧ください。
 pdf 日本語ドメイン対応 携帯電話一覧表

注意事項

Punycode および日本語ドメインをコモンネームとする場合、Trusted Web シールは非対応となります。

参考

Punycode および日本語ドメイン名を Punycode に変換するためのサイトについては、以下株式会社日本レジストリサービス(JPRS)の WEB サイトをご覧ください。

page top
シリアル番号の確認方法を教えてください。
【Internet Explorer 7を使用したシリアル番号の確認例】

  1. SSLサーバ証明書を使用しているWebサイトへInternet ExplorerでSSL接続します。
  2. Webブラウザウィンドウの右上に表示される鍵マーク(鍵マーク)をクリックします。
  3. 「証明書の表示」をクリックします。
  4. [詳細]タブをクリックし、シリアル番号を確認します。

SSLサーバ証明書のシリアルナンバー

page top
ワイルドカード証明書やマルチドメイン証明書は発行できますか?
マルチドメインに対応した証明書「SureServer MD」をご用意いたしております。

「SureServer MD」の詳細は以下をご覧ください。


ワイルドカードに対応した証明書に関しては、以下へ直接お問い合わせください。

サイバートラスト株式会社 総合受付
Tel: 0120-957-975
E-mail:
page top
SGC機能に対応した証明書は発行できますか?
サイバートラストではSGC機能に対応した証明書のお取り扱いはございません。

SGCの対象となる128ビット非対応のWebブラウザ(IE5.0)は非常に古く、Microsoft社がすでにサポートを打ち切っており、「SSLの脆弱性あり」と公表されているものです。
また、Webサイトの運営者様はエンドユーザ様に対し、それらのブラウザの使用を控えるようお奨めされております。

これらの状況から、弊社はSGCの対応は不要と考えております。

なお、SSLサーバ証明書をインストールする仮想サイト上でSGC証明書の設定が有効になっている場合、動作保証はいたしかねますので、SGC証明書の設定を無効にするか、新たに仮想サイトを作成してください。

page top
コード署名証明書(コードサイニング証明書)は発行できますか?
ソフトウェアにデジタル署名を行う電子署名用の証明書、「コード署名証明書」に関しては、DigiCert EV コード署名証明書をご用意しております。こちらをご利用ください。
page top
サーバ証明書はIPv6に対応していますか?
サイバートラストのSSLサーバ証明書は、サーバとクライアントの双方がIPv6に対応している場合、従来のIPv4の場合と同様に問題なくご利用いただけます。
page top
各種クラウドサービスでのライセンス体系を教えてください。
各種クラウドサービスでのライセンス体系については、ご利用のクラウドサービス名やご利用構成をお書き添えのうえ、( )までお問い合わせください。
page top
クロスルート方式とは?
クロスルート方式とは、従来の証明書階層で使用するルート証明書に加えて、クロスルート用の中間証明書を設定することにより、別のルート証明書にも接続可能とする仕組みです。

SSL クライアント(PC ブラウザやスマートフォンなど)に必要なルート証明書のどちらかが登録されている場合に SSL 通信が可能です。
必要なルート証明書が複数登録されている場合は、SSL クライアントの仕様に依存して、いずれかのルート証明書を使用します。
■クロスルート方式の証明書階層
クロスルート方式の証明書階層

2015 年 2 月 9 日時点で提供中のクロスルート方式を導入しているサーバ証明書の階層は以下です。

  • ※SureServer EV[2048bit] / SureServer EV[SHA-2]をご利用の場合、クロスルート方式設定を必須としています。
  • ※SureServer[SHA-2] はクロスルート方式を提供しておりません。

■①SureServer[2048bit](署名アルゴリズム SHA-1 / OV 証明書)

証明書種別 3階層接続時 4階層接続時
ルート証明書 Baltimore CyberTrust Root GTE CyberTrust Global Root
クロスルート用中間 CA 証明書 Baltimore CyberTrust Root
中間 CA 証明書 Cybertrust Japan Public CA G3(※) Cybertrust Japan Public CA G3(※)
サーバー証明書 www.○○○.jp www.○○○.jp

※2013年8月2日 20:59(JST)以前に発行されたお客様は「Cybertrust Japan Public CA G2」です。

■②SureServer EV[2048bit](署名アルゴリズム SHA-1 / EV 証明書)

証明書種別 3階層接続時 4階層接続時 5階層接続時
ルート証明書 Cybertrust Global Root Baltimore CyberTrust Root GTE CyberTrust Global Root
クロスルート用中間 CA 証明書① Cybertrust Global Root Baltimore CyberTrust Root
クロスルート用中間 CA 証明書② Cybertrust Global Root
中間 CA 証明書 Cybertrust Japan EV CA G2 Cybertrust Japan EV CA G2 Cybertrust Japan EV CA G2
サーバー証明書 www.○○○.jp www.○○○.jp www.○○○.jp

■③SureServer EV[SHA-2](署名アルゴリズム SHA-2 / EV 証明書)

証明書種別 3階層接続時 4階層接続時
ルート証明書 Cybertrust Global Root Baltimore CyberTrust Root
クロスルート用中間 CA 証明書 Cybertrust Global Root
中間 CA 証明書 Cybertrust Japan EV CA G2 Cybertrust Japan EV CA G2
サーバー証明書 www.○○○.jp www.○○○.jp
page top
SureServer[2048bit]ではなぜクロスルート方式も提供しているのでしょうか?

SureServer[2048bit]につきましては、現時点においても業界トップレベル水準のカバレッジでご提供しており、幅広いお客様にご利用いただいておりますが、「更にカバレッジを向上させたい!」というご要望にお応えするため、クロスルート方式も提供いたしております。

※携帯端末の対応率につきましては、以下をご覧ください。

page top
クロスルート方式の導入の目安を教えてください。
お客様のWebサイトにおいて、クロスルート方式を導入いただく際の目安は以下の通りです。
サイト訪問者の接続環境 弊社が推奨する
SureServer[2048bit]の導入方式
PCブラウザのみ 従来(3階層)
携帯端末(※)のみ クロスルート(4階層)
PCブラウザと携帯端末 クロスルート(4階層)

※携帯端末:携帯電話/PHS/スマートフォン/タブレット
※SureServer[2048bit]の携帯端末の対応率はコチラをご覧ください。

page top
条件や対策方法について

2014年以降、Microsoft社がSureServer(1024bit)のルート証明書「GTE CyberTrust Global Root」をはじめとした世の中の1024bitのルート証明書の利用を終了させることを弊社では想定しております。

様々な条件を想定して弊社で調査を実施したところ、Web訪問者のPCが以下複数の条件にすべて一致する場合にセキュリティ警告が発生することを確認しております。

  • SureServer[2048bit]用クロスルート方式、もしくはSureServer EV[2048bit]をご利用の場合
  • Web訪問者のPCがWindows XPで、かつ、Internet Explorer 、Chrome、Safari を利用している場合
  • Web訪問者のPCにルート証明書が搭載されていない場合
  • Microsoft社がWindows Updateにおいて「KB2607712」「KB2718704」相当の更新プログラムを提供した場合
※携帯電話やスマートフォンなどの携帯端末、Windows 7やMac OSなどのWindows XP以外のOS、Firefox などのその他ブラウザではセキュリティ警告は発生しません。

そのため弊社では、セキュリティ警告発生回避のため、お客様への事前対策について以下にご案内いたします。

No 対策 対応者
1 クロスルート方式から3階層へ変更する(※) サーバ運営者
2 予め2048bitルート
証明書をPC環境へ
インストールする
  1. マイクロソフト提供のrootsupd.exeを実行する
Web訪問者
  1. 2048bitルート証明書のファイルを開く
    SureServer[2048bit] のルート証明書
    SureServer EV[2048bit]のルート証明書
Web訪問者
  1. Webサイトへ「Root Upgrader」を掲載する
サーバ運営者
携帯端末の非対応機種が増加いたしますが、時間経過とともに非対応機種の実質アクセス率の低下が予測されます。
また、弊社では実質アクセス率の調査を定期的に実施しており、随時お知らせいたします。
page top
「Root Upgrader」 について

「Root Upgrader」は、お客様のWebサイトのhtmlソースへ任意でご設定いただく数行のJavaScriptです。以下のような場合にご利用ください。

対象OS:Windows XP
  • 複数の諸条件が重なったWeb訪問者のWebブラウザにおける、2014年以降のセキュリティ警告の発生を予防する場合
  • SureServer EV[2048bit]をご利用の際に、EV対応ブラウザであってもアドレスバーが緑色にならない事象を解決する場合
機能

Web訪問者のWebブラウザから「Root Upgrader」が設定されたWebサイトへ初めて接続する場合に、SureServer[2048bit]のルート証明書(Baltimore CyberTrust Root)とSureServer EV[2048bit]のルート証明書(Cybertrust Global Root)の自動ダウンロードを促します。

「Root Upgrader」の仕組みについては、以下PDFも合わせてご参照ください。

動作環境
OS ブラウザ
Windows XP Internet Explorer 6.0~
Safari
Google Chrome

※Windows XP以外のOSや、携帯電話や スマートフォンなどの携帯端末では動作しません。
※ルート証明書の自動更新機能とJavascriptが有効である必要があります。

ご利用方法

以下のスクリプトを設定するhtmlソース(任意)へ記述します。

本スクリプトは、Web訪問者のアクセスが多い、非SSLページへの掲載を推奨いたします。
例)TOPページ/お問い合わせページ など

※サーバ証明書のご設定ページのほか、非SSLページ(http://~から始まるページ)やご取得のサーバ証明書と別FQDNのWebサイトでもご利用いただけます。

動作確認手順

以下の手順で「Root Upgrader」の動作確認が可能です。

  1. 以下PDFの手順に従ってルート証明書の登録状況を確認し、SureServer[2048bit]のルート証明書(Baltimore CyberTrust Root)とSureServer EV[2048bit]のルート証明書(Cybertrust Global Root)が登録されている場合は削除します。
  2. 動作確認を行うブラウザのCookieを削除したうえで、「Root Upgrader」を設定したページへ接続します。
  3. ルート証明書の登録状況を再確認して、対象のルート証明書が自動ダウンロードされていれば、「Root Upgrader」は正しく動作しています。
page top
CRL(Certificate Revocation List)とは?

CRL(Certificate Revocation List)は、証明書の失効情報(シリアル番号と失効日)が記載されている認証局(CA)毎に作成・更新されるリストです。

同認証局(CA)から発行された有効期間が満了していないすべての証明書の失効情報が記載されています。

CRLに対応したWebブラウザからサーバ証明書が設定されているWebサイトへ接続した際、サーバ証明書の情報を受け取ったWebブラウザは証明書の「CRL配布ポイント(CRL Distribution PointCRL)」という項目で指定されたURLへ自動でアクセスして、CRLをダウンロードします。

Webブラウザは取得したCRLに登録されているすべてのシリアル番号とWebサーバから送られてきた証明書のシリアル番号を照合して、一致した場合にWebブラウザが「証明書が失効されている」と判別してセキュリティ警告やエラーメッセージを表示します。

page top
OCSP(Online Certificate Status Protocol)とは?

OCSP(Online Certificate Status Protocol)は、証明書が失効されていないかをリアルタイムで確認するプロトコルです。

OCSPに対応したWebブラウザからサーバ証明書が設定されているWebサイトへ接続を行う際、証明書の「機関情報アクセス(Authority Info Access )」の「オンライン証明書状態プロトコル」という項目で指定されたOCSPサーバのURLへ自動でアクセスします。

OCSPサーバにはCRLが保存されており、そのCRLに登録されているすべてのシリアル番号とWebサーバから送られてきた証明書のシリアル番号を照合して一致しているかを確認し、Webブラウザへ確認結果を送信します。

OCSPサーバから「証明書が失効されている」という確認結果を受信した場合、Webブラウザはセキュリティ警告やエラーメッセージを表示します。

page top
クライアント環境において外部への接続先を制限している場合、許可すべきURLはありますか?

サイバートラストのサーバ証明書をご利用の際は、ご利用商品に応じて以下URLの許可をお願いいたします。

CRL(Certificate Revocation List)
SureServer[2048bit]/SureServer[SHA-2]
証明書の種類 URL
サーバ証明書 http://sureseries-crl.cybertrust.ne.jp/SureServer/ctjpubcag2/cdp.crl
http://sureseries-crl.cybertrust.ne.jp/SureServer/ctjpubcag3/cdp.crl
中間CA証明書 http://cdp1.public-trust.com/CRL/Omniroot2025.crl
クロスルート用
中間CA証明書
http://www.public-trust.com/cgi-bin/CRL/2018/cdp.crl
SureServer EV[2048bit]/SureServer EV[SHA-2]
証明書の種類 URL
サーバ証明書 http://sureseries-crl.cybertrust.ne.jp/SureServer/2021_ev/cdp.crl
中間CA証明書 http://crl.omniroot.com/ctglobal.crl
クロスルート用
中間CA証明書
http://www.public-trust.com/cgi-bin/CRL/2018/cdp.crl
ルート証明書 http://www2.public-trust.com/crl/ct/ctroot.crl
 
OCSP(Online Certificate Status Protocol)
SureServer[2048bit]/SureServer[SHA-2]
証明書の種類 URL
サーバ証明書 http://ocsp.cybertrust.ne.jp/OcspServer
中間CA証明書 http://ocsp.omniroot.com/baltimoreroot
SureServer EV[2048bit]/SureServer EV[SHA-2]
証明書の種類 URL
サーバ証明書 http://sureseries-ocsp.cybertrust.ne.jp/OcspServer
中間CA証明書 http://ocsp.omniroot.com/evssl
 
その他
全商品共通(ご設定時のみ)
サービス名 URL
Trusted Webシール https://trusted-web-seal.cybertrust.ne.jp
page top
SHA-2 証明書の「拇印アルゴリズム」が「SHA-1」と表示されます。

「拇印アルゴリズム」は、「拇印」(※)を算出に使用するアルゴリズムを示しています。 SHA-1 に対する外部規制の対象は「署名アルゴリズム」であるため、この表示は問題ありません。


※「拇印」はご利用の OS やブラウザにて計算される証明書のメッセージダイジェストをハッシュ関数にて算出した値です。

page top
CT(Certificate Transparency)対応の証明書は発行していますか。

SureServer EV、SureServer ともに CT 対応の証明書を発行しております。
また、発行の際に特別なお手続きや費用はございません。

CT 対応証明書のお申し込み・ご利用方法につきましては、以下をご覧ください。

page top
ルート証明書の署名アルゴリズムが SHA-1 ですが、問題ありませんか。

SHA-1 に対する外部規制の対象は、中間CA証明書(クロスルート証明書を含む)やお客様証明書であるため、現時点において問題ありません。

page top
page top