FAQ6 証明書の設定（インストール）方法と注意点 |スターフィールドSSL

Q. 証明書のインストール方法（SSL（TLS）設定）

代表的なサーバーソフトウェアでの証明書のインストール方法（SSL（TLS）設定）をご案内しております。

ガイドの内容は参考資料としてお使い下さい。ジェイサートとして、ガイド内容の正確性やその効果につき、何ら保証するものではありません。

詳細手順やサーバ設定仕様については各製品のアプリケーションマニュアルか開発元/販売元にお問い合わせください。

Q. 中間認証局証明書（中間証明書）はなぜ必要なのか？

ルート認証局を外部からの攻撃から保護し危殆化を防ぐため、中間認証局が設けられています。

お客様証明書により保護されるサイト（上図ではwww.starfieldtech.com）からのSSL（TLS）通信の際、ブラウザは最下層のお客様証明書から中間証明書を介し、ルート認証局が確かに公に信頼された認証局であることを検証しております。

中間証明書がないと、この検証が完結できずブラウザにより無効なお客様証明書と認識されることになり、画面上にその旨の警告メッセージが表示されます。

中間証明書は、こちらから取得できます。

Q. 中間証明書は更新の都度インストールする必要がありますか？

SHA-2限定中間証明書が設定されていれば更新都度設定する必要はありません。

弊社では、SHA-2ルート証明書非対応のフィーチャフォン（ガラケー）含むレガシー機器であっても、次世代のSHA-2証明書（お客様証明書）との接続を可能にするべく、SHA-2 & SHA-1両用の中間証明書を中間証明書して提供して参りましたが、2016年12月より SHA-2限定中間証明書を提供することと致しました。　

同両用中間証明書は、SHA-2証明書への移行期限である2017年1月1日以降も問題なく継続利用頂けますが、ファイルサイズのよりコンパクトなSHA-2限定中間証明書によりhttps接続時のサーバ側負荷が少なからず軽減されますので、従来から同両用中間証明書をご利用頂いておりましたお客様には、更新時での置換をお薦め致します。（お客様のSHA-2証明書の動作には全く影響がありません。）

なお、フィーチャフォン（ガラケー）や社内イントラ環境等でのレガシー機器との可用性を敢えて確保されたいお客様には同両用中間証明書を引き続きご提供しますので、弊社までお問い合わせ下さい。

ジェイサートにお問い合わせはこちら

Q. 同一コモンネームのサイトをロードバランサ上あるいは複数サーバで負荷分散運用しています。

SSLアクセラレータ機能付きロードバランサをご利用の場合、証明書はロードバランサに搭載すれば良く、背後の個別のサーバにインストールの必要はありません。（SSLアクセラレータへの証明書のインストール方法につきましては、SSLアクセラレータあるいはロードバランサベンダーにお問い合わせください。）

あるいは、ロードバランサの背後にある個別サーバにSSL証明書をCopy & Pasteの上インストールして頂く必要がございます。その際、SSL証明書に紐付く秘密鍵も同時にインポートしなければなりません。

SSL証明書及び秘密鍵のペアのバックアップ（エクスポート）及びインポートについてはこちらをご参照ください。

注意事項秘密鍵の冗長化をご検討ください！: 1枚の証明書を大規模サーバ環境で「共用（使い回し）」されている場合等、敢えて秘密鍵を複数に冗長化し（別途ライセンスを購入し同一ドメイン名に対し複数の証明書を用意する）、秘密鍵の漏えい・紛失等危殆化が起こる前に予めリスクを分断しておかれることを強くお奨めします。