1. HOME
  2. 製品・サービス
  3. SureServer
  4. サポート
  5. よくある質問
  6. 証明書のダウンロード・インストールについて

証明書のダウンロード・インストールについて

SSLサーバ証明書のインストール手順書はありますか?
代表的なWebサーバソフトウェアの設定手順については、下記のページをご覧ください。 SSLライブラリの組込みなど、ネットワーク環境構築に関する個別の事象はサポートしておりませんので、あらかじめご了承ください。
page top
中間CA証明書のインストール方法を教えてください。
中間CA証明書のインストール方法はお使いの機器により異なります。

詳細は以下のSSLサーバ証明書のインストールマニュアルをご覧ください。
page top
どの中間CA証明書をダウンロードすればよいですか?
ご利用機器へインストールが必要な中間CA証明書は、商品ごとに異なります。
必要な中間CA証明書は以下の表をご確認のうえ、ダウンロードしてください。

商品名 中間CA証明書 クロスルート用
中間CA証明書
SureServer[2048bit] ①Cybertrust Japan Public CA G3※1 ②Baltimore CyberTrust Root※2
SureServer EV[2048bit] ①Cybertrust Japan EV CA G2 ②Cybertrust Global Root
③Baltimore CyberTrust Root
SureServer[SHA-2] ①Cybertrust Japan Public CA G3 -
SureServer EV[SHA-2] ①Cybertrust Japan EV CA G2 ②Cybertrust Global Root
※12013 年 8 月 2 日 20 : 59(JST)以前に発行されたサーバー証明書の場合:Cybertrust Japan Public CA G2
※2携帯端末(携帯電話やスマートフォン)の対応率を重視される場合は、中間 CA 証明書とクロスルート用中間 CA 証明書をご設定ください。

なお、複数の中間 CA 証明書をインストールする場合、サーバーの種類によって以下のことに注意してください。

  • IISやiPlanet Web Server、keytool(Tomcat)などをご利用のお客様
    上記の表の中間CA証明書とクロスルート用中間CA証明書をそれぞれインストールしてください。
  • ApacheやBIG-IPなどのOpenSSLバンドル系のサーバをご利用のお客様
    中間CA証明書とクロスルート用中間CA証明書を連結して1つにしたファイルをインストールしてください。
    ※連結ファイルは「中間CA証明書→クロスルート用中間CA証明書」の順番で記載されています。本ファイルをそのままご利用機器へご設定ください。
商品名連結ファイル
SureServer[2048bit]Cybertrust Japan Public CA G3 + Baltimore CyberTrust Root(※)
SureServer EV[2048bit]Cybertrust Japan EV CA G2 + Cybertrust Global Root +Baltimore CyberTrust Root
SureServer EV[SHA-2]Cybertrust Japan EV CA G2 + Cybertrust Global Root

※ 2013年8月2日 20:59(JST)以前に発行されたお客様:
Cybertrust Japan Public CA G2 + Baltimore CyberTrust Root

【参考】お使いの商品がご不明な場合
以下の方法でお使いの商品をご確認いただけます。
  • サイバートラストからお送りする「申請受付のお知らせ」、「発行のお知らせ」の商品名を確認する
  • 申請サイト(SureBoardやSureHandsOn)へログインし、該当の商品名を確認する
  • Windows環境でダウンロードしたサーバ証明書の拡張子を「.cer」もしくは「.crt」へ変更し、ダブルクリックして証明書を開き、「発行者」のコモンネームを確認する。

■SureServer EV[2048bit]・SureServer EV[SHA-2]の確認例


拡大表示
Cybertrust Japan EV CA G2
中間CA証明書は、以下よりダウンロードし、ご利用ください。
page top
中間CA証明書は更新の都度、Webサーバにインストールする必要はありますか?
ApacheやIISでは、インストール済みの中間CA証明書とこれからインストールを行う中間CA証明書の種類が同じであれば、再度インストールする必要はございません。

※サイバートラストが提供する中間CA証明書が更新された場合には、新しい中間CA証明書をインストールする必要があります。

Apache やIIS 以外のWebサーバでは、都度、中間CA証明書をインストールする必要がある場合もございますので、詳細はお使いの機器の手順書をご確認ください。
page top
SSLサーバ証明書のインストール後、Webサーバの再起動は必要ですか?
SSLサーバ証明書および中間CA証明書のインストール後に再起動を行わない場合、証明書の設定が反映がされず、Webブラウザにて警告が表示される可能性があるため、基本的にサーバの再起動は必要とお考えください。

なお、証明書更新時、IISで中間CA証明書のインストールが不要な場合はサーバの再起動は不要ですが、設定後にSSL接続時に警告が表示される場合は必ず再起動を行ってください。
page top
ルート証明書の自動更新機能について
自動更新機能について

マイクロソフト社が認めたルート証明書に関しては、ルート証明書がクライアントPC側にインストールされていない状態でも、初めてSSL接続を行った際にクライアントPCへ自動でダウンロードされる仕組みとなります。

そのため、一般的なインターネット環境では特に意識することなく、かつ、セキュリティ警告が表示されずにSSL接続が可能です。

OSのデフォルト設定において本機能が有効となっているため、当社では以下の手順で設定を戻すことを推奨します。

  • 「Windows XP」での設定方法
  • 「Windows Vista/7」での設定方法

  • ルート証明書が自動ダウンロードされないケースについて

    以下のケースではルート証明書がクライアントPCに自動インストールされない可能性があります。
    • 自動でルート証明書をダウンロードする機能の設定をOffにした場合
    • ファイヤーウォール等でマイクロソフト社への接続を許可していない場合
    • イントラネット等、マイクロソフトサーバにインターネット接続をしない(できない)環境の場合
    • セキュリティポリシーやアカウントの権限により証明書のダウンロードや利用が制限されている場合
    ルート証明書が自動ダウンロードされない場合は、手動でルート証明書をPC へ登録してください。

    詳細手順については、以下をご確認ください。
page top
ルート証明書の登録方法について
クライアントPC側の設定

ルート証明書がご利用のPCへ登録されていないことにより、Webサイトへの接続時にセキュリティ警告が表示されている場合は、以下よりMicrosoft社が推奨する最新の状態にアップデートを行うための実行ファイル 「rootsupd.exe」をダウンロード・実行してください。 ネットワーク側の設定

接続しているネットワークで「Windows Server」の「Active Directory(アクティブディレクトリ)」機能を利用している環境の場合、ドメインに参加しているPCへグループポリシーの設定を使用して、ルート証明書を一括配布することが可能です。

詳細手順については、以下ホームページをご覧ください。
※「Windows Server 2008」の手順となります。 ※ルート証明書は以下よりダウンロードいただけます。
page top
1 台のサーバーに複数の証明書をインストールできますか。
サーバー証明書は、1 つの IP アドレスに対して 1 枚の証明書が必要です。

そのため、仮想サーバーごとに IP アドレスが割り振られている環境の場合は、1 台のサーバーに複数の証明書のインストールが可能です。

1 つのIPアドレスを複数の仮想サーバーで共有している場合は、1 枚の証明書で複数の FQDN をカバーするマルチドメイン証明書やワイルドカード証明書のご利用もしくは SNI(Server Name Indication)のご設定が必要です。
page top
[IIS 7.0以降] 証明書をインストールした後に画面更新や遷移を行うと、証明書の表示が消えてしまいます。
IIS7.0 以降におきまして、証明書の要求からインストール後に消えてしまう場合、サーバー証明書に秘密鍵が紐づいていない、もしくは削除されているために正しくインストールができていない可能性がございます。

その場合、以下のコマンドにて証明書のインストールをお試しください。

1)コマンドプロンプトを開き、以下のコマンドを実行します。
  certutil -repairstore my "証明書の拇印"

※証明書の拇印は、証明書をダブルクリックした際に表示される、
「証明書の詳細タブ」 > 「拇印」より確認できます。半角スペースはすべて削除します。

 例)certutil -repairstore my "ca7dda91a106171f372daa4295db779bc4eac4c4"

上記にて正常にコマンドが完了した場合は正しくインストールが完了しているため、SSL サーバ証明書の適用手順を進めてください。

なお、上記コマンドにおいても証明書をインストールいただけない場合は CSR の再作成と証明書の再発行が必要です。

▼証明書の再発行手続きについて https://www.cybertrust.ne.jp/sureserver/support/faq/ss_faq03.html#04
page top
[IIS] クロスルート設定が正しく反映されません。
原因として、以下の可能性が考えられます。

  • 別のクロスルート証明書やルート証明書をインストールしている
  • サーバー上にクロスルート証明書と同名のルート証明書が存在している
インストールされたクロスルート証明書に誤りがないことを MMC でご確認ください。

また、クロスルート証明書と同じコモンネームのルート証明書が登録されている場合は、 以下の手順に従って「信頼されたルート認証機関」のルート証明書を削除し、バインドの再設定を行ってください。
page top
[IIS 6.0] 証明書の置き換えができません。
「保留中の要求」のステータスの場合、証明書の置き換えが行えません。
不要な CSR を作成した場合には「保留中の要求」を削除してください。
page top
[IIS 6.0] 証明書の更新時に作成したダミーサイトはどうしたらよいですか。
ダミーサイトは不要のため、証明書の置き換えが完了した後に削除してください。
page top
[IIS 7.0以降] 証明書の設定を変更しましたが、反映されません。
設定が反映されない場合は、バインドの再設定や IIS、サーバーの再起動を実施してください。
page top
[IIS] 1 台で複数の仮想サイトを運用しています。個別に中間 CA 証明書を設定できますか。
IIS の仕様上、個別に中間 CA 証明書を設定できません。
また、複数の中間CA証明書がインストールされている場合、自動で中間 CA 証明書が選択されます。
page top
[IIS] 1 枚の証明書をコピーして、複数の IIS へインストールできますか。
インストールできます。

CSR を作成した IIS に秘密鍵が保存されているため、CSR を作成した IIS に証明書をインストール後、秘密鍵と証明書を PFX ファイルとしてエクスポートして、ほかの IIS へインポートしてください。

PFX ファイルのエクスポート手順とインポート手順は下記の「サーバー移行手順」タブの「IIS→Apache/IIS」をご参照ください。
https://www.cybertrust.ne.jp/sureserver/support/tec_download.html
page top
SureBoard や SureHandsOn で発行された証明書をダウンロードできません。
申請サイトでは、Internet Explorer を推奨ブラウザとしており、ほかのブラウザでは正しくダウンロードできない可能性があります。

ほかのブラウザをご利用の場合は、Internet Explorer をご利用ください。
page top
page top