WHITE PAPER: White Paper サーバ管理者必見! 失敗しない SSL サーバ証明書導入のキホン powered by Symantec

E

P

A

P

E

R

:

White Paper

サーバ管理者必見！

失敗しないSSLサーバ証明書導入のキホン

Copyright © Symantec Corporation. All rights reserved.　Symantec と Symantec ロゴは、Symantec Corporation または関連会社の米国およびその他の国における登録商標です。その他の会社名、製品名は各社の 登録商標または商標です。 合同会社シマンテック・ウェブサイトセキュリティは、本書の情報の正確さと完全性を保つべく努力を行って います。ただし、合同会社シマンテック・ウェブサイトセキュリティは本書に含まれる情報に関して、（明示、 黙示、または法律によるものを問わず）いかなる種類の保証も行いません。合同会社シマンテック・ウェブサ イトセキュリティは、本書に含まれる誤り、省略、または記述によって引き起こされたいかなる（直接または 間接の）損失または損害についても責任を負わないものとします。さらに、合同会社シマンテック・ウェブサ イトセキュリティは、本書に記述されている製品またはサービスの適用または使用から生じたいかなる責任も 負わず、特に本書に記述されている製品またはサービスが既存または将来の知的所有権を侵害しないという保 証を否認します。本書は、本書の読者に対し、本書の内容に従って作成された機器または製品の作成、使用、 または販売を行うライセンスを与えるものではありません。最後に、本書に記述されているすべての知的所有 権に関連するすべての権利と特権は、特許、商標、またはサービス ･ マークの所有者に属するものであり、そ れ以外の者は、特許、商標、またはサービス ･ マークの所有者による明示的な許可、承認、またはライセンス なしにはそのような権利を行使することができません。 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更す る権利を持ちます。

Contents

概要

4

SSL設定　5つのキホン～これだけは確認しよう！～

4

1. 申請内容を確認する

5

2. 中間CA証明書をインストールする

6

3. SSLを有効にする

7

4. 安全なSSL通信を確保する

7

5. エラーは2種類に分けて対処する

8

まとめ

9

参考文献

9

【付録1】チェックリスト：SSLサーバ証明書　申請時編

10

1. SSLサーバ証明書　～申請からインストールまで～

10

2. チェックリスト：SSLサーバ証明書申請時編

10

【付録2】チェックリスト：SSLサーバ証明書　インストール編

11

SSLサーバ証明書のインストール方法

11

SSLサーバ証明書の動作検証

11

【付録3】チェックリスト：SSLサーバ証明書　検証編

12

【付録4】 SSL接続エラー種別と解決方法

12

【付録5】 ルートCA証明書の確認方法

14

概要

SSL（Secure Sockets Layer）サーバ証明書には、サーバを 運営する団体の実在性を証明する機能とウェブサーバとクライアン ト間の通信を暗号化する機能があります。この機能を用いること で安全なウェブサイトの通信環境を構築し、ウェブサイトの訪問者 に安心して利用してもらうことができるようになります。ただし、こ れは SSL サーバ証明書を正しく利用すれば・・・の話。SSL サー バ証明書のインストールが適切でないとエラーや警告画面が表示 され、逆にウェブサイト訪問者を不安にさせてしまいます。 SSL サーバ証明書の導入は決して難しい作業ではありません。作 業内容がわかっていれば、導入と検証に要する時間は短時間です みます。しかし、実際に SSL サーバ証明書を導入するのは多くの 場合、1 年、もしくは複数年に 1 度。手順を忘れた、手順書が見 当たらない、など内容を思い出すことからはじめるため、どうして も作業が煩雑になりがちです。結果、トラブルシューティングに予 想以上の時間がかかり作業に何日も費やすことになりかねません。 当資料では、このような問題を解決するためにサーバ管理者が見 落としがちな点や注意しておくべき点をピックアップしてわかりやす く解説してきます。作業前に一読しておくと、発生しやすいトラブ ルを回避して導入に関連する時間の浪費を防ぐことができるでしょ う。また、巻末の付録には、各種チェックリスト、およびトラブル シューティング集を掲載しています。作業をしながら必要な項目の み確認していくのもよいでしょう。SSL サーバ証明書の導入手順 書として是非ご活用ください。

SSL 設定　5 つのキホン

～これだけは確認しよう！～

実際に SSL サーバ証明書を申請してから SSL を利用可能にする までの一連の作業における注意点を 5 つのポイントとしてまとめま した。実際に作業にとりかかる前にそれぞれのポイントについて理 解しておくと、作業をスムーズに行うことができるでしょう。 1 申請内容を確認する 2 中間CA証明書をインストールする 3 SSLを有効にする 4 安全なSSL通信を確保する 5 エラーは2種類に分けて対処する ※ SSL サーバ証明書の申請からインストールまでの手順、およびインストール 方法については本資料の【付録】をご参照ください。

1. 申請内容を確認する

1-1. 申請情報と書類の用意

SSL サーバ証明書を認証局に申請する際には、申請団体情報、 申請責任者情報、ドメイン情報を提出します。また、それぞれが 正しい情報であることを証明する書類が必要になることがありま す。あらかじめ必要な情報と提出書類を準備しておくと、オンライ ン申請から証明書発行までの時間を短縮することができます。 例）主な確認事項　（シマンテック SSL サーバ証明書の場合） ・申請団体：サーバ ID を申請する団体名は何か？ ・申請責任者：申請責任者として登録する担当者は誰か？ ・ウェブサイト：利用しているドメイン名の所有名義は何か？ 提出する内容と種類は SSL サーバ証明書の種類（企業認証、ド メイン認証、クライアント認証など）、および申請する団体の属性 （法人、地方公共団体、大学など）やドメインの所有者の状況な どにより異なります。多くの証明書を扱うお客様向けにご用意して いるエンタープライズ向けサービス（マネージド PKI for SSL） を利用する場合は、手続き方法が異なるので申請前にシマンテッ クのような認証局ベンダーに確認しましょう。

1-2. CSR の生成

CSR（Certificate Signing Request）とは、認証局に署名し てもらうための、テキスト形式の署名要求のことです。CSR は、 各自のウェブサーバで簡単に作成することができますが、作成する 前にあらかじめディスティングイッシュネーム（DN）を決めておく 必要があります。 ディスティングイッシュネームは [ 証明書の詳細タブ ] のサブジェク トに表示される情報です。ウェブサイト利用者が閲覧する内容で すので、正確に記述する必要があります。部門名 (OU) には、お 客様が指定した情報のほかに複数の情報が表示されることがあり ますのでご注意ください。 【ディスティングイッシュネーム】 コモンネーム

（Common Name） SSL暗号化通信を行うサイトのURL 組織 （Organization） ウェブサイトを運営する組織の正式団体名 部門名 （Organizational Unit） 部門・部署名など、識別名称 市区町村名 (Locality） ウェブサイトを運営する組織の _{市区町村名} 都道府県 (State or Province) ウェブサイトを運営する組織の都道府県名 国名(Country) ISO規定の 日本の国コード　JP EV SSL 証明書の場合は、上記の項目に加え固定値、または申 請団体の区分による入力情報の違いがありますので特にご注意く ださい。詳細は下記 URL を参考にしましょう。 https://knowledge.verisign.co.jp/support/ssl-certificates-support/index?page=content&id=SO2330 7&actp=LIST&viewlocale=ja_JP 図 1：証明書のサブジェクト ディスティングイッシュネームの中でも一番重要な情報はコモン ネーム（CN）です。これは、SSL サーバ証明書はホスト名を含 む特定のドメイン名で使用するように設定されています。CSR に 含まれるコモンネームは、実際に運用するウェブサイトのホスト名 と一致していなければならず、間違えているとウェブサイトのホス ト名と一致せず SSL 通信時にエラーが発生します。この問題を 解消するには、CSR を作り直し、新しい証明書を申請しなければ いけませんので、CSR 作成時には充分に注意しましょう。シマン テックでは、初回発行日から 30 日以内に限り再取得のサービス を無料で提供しています。誤ったコモンネームの SSL サーバ証 明書を取得した際には、30 日以内に再取得の手続きを行いましょ う。 【コモンネーム 例】 　　　　運営するサイト コモンネーム 例） https://www.symantec.com → www.symantec.com 例） https://symantec.com → symantec.com

2. 中間 CA 証明書をインストールする

2-1. 中間 CA 証明書のインストール

ブラウザ（HTTP のクライアント）は、ウェブサーバから送付され た SSL サーバ証明書の署名、中間 CA 証明書の署名、およびブ ラウザに保存されているルート CA 証明書を照合してその信頼性 を検証します。SSL サーバ証明書は階層構造になっていますから、 SSL サーバ証明書と最上位のルート CA 証明書までのパスを正し くたどるためには、中間 CA 証明書が必要です。SSL サーバ証 明書をウェブサーバにインストールする際には、忘れずに中間 CA 証明書もインストールしましょう。 また、認証局ベンダーはセキュリティ対策の一環として新しい中 間 CA 証明書を発行、または入れ替えする場合があります。SSL サーバ証明書更新時にも必ず中間 CA 証明書が正しい組み合わ せになっていることを確認しましょう。一部の環境では Internet Explorer で中間 CA 証明書がウェブサーバにインストー ルさ れていない場合でも、証明書の検証が完了する場合がありま す。これは、一部の環境の Internet Explorer が自動的に中間 CA 証明書をダウンロードし取得する機能を持っているからです。 しかし、他のほとんどのブラウザは正しい中間 CA 証明書をサー バ接続時に用意しておかないと、エラーが発生しますのでご注意く ださい。

2-2. 4 階層以上の SSL サーバ証明書

もし証明書が 4 階層で構成されている場合は、中間 CA 証明書を 2 つインストールしなければなりません。Apache 等、中間 CA 証明書のインストールの順番が正しくないと、最上位のルート認証 局まで正しくたどれない場合がありますので注意しましょう。 （参考）Apache + OpenSSL 中間 CA 証明書のインストール手順 https://knowledge.verisign.co.jp/support/ssl-certificates-support/index?page=content&id=SO2341 5&actp=LIST&viewlocale=ja_JP

シマンテック EV SSL 証明書「クロスルート方式」

シマンテックでは、2 種類の独立したルート CA 証明書を利用して 署名検証を行う「クロスルート」方式が用いられている製品があり ます。ブラウザ（クライアント）に搭載されているルート CA 証明 書によって 3 階層（下図 a → b →ルート CA 証明書）で署名検 証される場合と、4 階層構成（下図 a → b → c →ルート CA 証 明書）で検証される場合があります。この形式が採用されている 場合は、証明書導入後の検証では 3 階層および 4 階層どちらの 階層においても検証できることを確認しましょう。 例：シマンテック グローバル・サーバ ID EV の階層構造 クライアント PC のブラウザに プレインストールされているルート証明書 ウェブサーバ等にインストールする中間証明書 ウェブサーバ等にインストールするサーバ証明書 ウェブサーバの設定 ・ 認証局から発行された End-Entity 証 明書(a)と併せ、2 階層分の中間証明 書 ((b)および(c)) の計 3 種類の証明 書をサーバへインストール ・ クライアントからの通信要求時には 3 種類の証明書をダウンロードさせる VeriSign Class3 Public Primary CA （通称 G1 ルート） 署名アルゴリズム：SHA-1 公開鍵長：1,024bit VeriSign Class3 Public Primary CA - G5 （通称 G5 ルート） 署名アルゴリズム：SHA-1 公開鍵長：2,048bit VeriSign Class3 Public Primary CA - G5 署名アルゴリズム：SHA-1 公開鍵長：2,048bit VeriSign Class3 Extended Validation SSL SGC CA 署名アルゴリズム：SHA-1 公開鍵長：2,048bit SSL サーバ証明書（End-Entity) 署名アルゴリズム：SHA-1 公開鍵長：2,048bit (a) (b) (c) ■G5 ルートを持たない古いブラウザの場合 G1 ルートをアンカーとして、4 階層で署名検証される ■G5 ルートを持つ新しいブラウザの場合 G5 ルートをアンカーとして、3 階層で署名検証される ※この場合、中間証明書(c)は無視される 図 2： シマンテック　クロスルート方式（例）

2-3. 正しくパスをたどれるか？

中間 CA 証明書はすべての製品に共通ではなく、それぞれの SSL サーバ証明書専用の中間 CA 証明書が用意されています。 正しい中間 CA 証明書をインストールできていることを確認するこ とが必要です。以下のサイトでは、中間 CA 証明書が正しくイン ストールされ、且つルート CA 証明書まで正しくたどれているか確 認するためのツールをご紹介しています。 https://knowledge.verisign.co.jp/support/ssl-certificates-support/index?page=content&id=SO2287 5&actp=LIST&viewlocale=ja_JP

2-4. PKCS7 形式の SSL サーバ証明書

証明書には複数の形式があります。SSL サーバ証明書申請時に、 「サーバソフトウェア」の項で "Microsoft" を選択した場合、中 間 CA 証明書が SSL サーバ証明書とパックされた PKCS7 形式 の証明書が発行される場合があります。PKCS7 形式の証明書を インストールした場合は、中間 CA 証明書をインストールする必要 はありません。

3. SSL を有効にする

3-1. ウェブサーバの設定

SSL サーバ証明書と中間 CA 証明書をインストールしたら、次に サーバの SSL の設定を確認しましょう。ウェブサーバの種類によっ ては、SSL を有効にする設定が求められます。詳細は、ウェブサー バのユーザガイドを確認してください。

3-2. HTTPS 専用ポートの指定

HTTPS 通信（SSL 機能）の場合は、HTTP と HTTPS の通信 を見分けるためにそれぞれ異なるポートを準備します。忘れずに SSL 専用のポート番号（標準：443）を指定し、ポートが正しく 設定されていることを確認しましょう。

4. 安全な SSL 通信を確保する

一般的に、『SSL を導入すれば安全だ』　『SSL を導入したから 通信の機密性は確保されている』と考えがちですが、決してそう とは言い切れません。実際には、SSL のサーバ証明書の秘密鍵 さえ取得できれば SSL を乗っ取ることができてしまいます。また、 SSL 接続時に使われている暗号技術は、「強度」が弱いものから 強いものまで様々です。HTTPS 通信のセキュリティを最適化す る方法をみてみましょう。

4-1. 秘密鍵さえ取得できれば SSL を乗っ取ることがで

きる !?

SSL には、SSL 接続開始時に「公開鍵暗号方式」という暗号化 技術が用いられています。この方式では、公開鍵と秘密鍵が 1 ペ アとして作動し、それぞれの鍵を用いてデータの暗号化・複合化 を行っています（SSL の仕組みは、以下のホームページで詳しく ご紹介しています。http://www.symantec.com/ja/jp/page. jsp?id=how-ssl-works）。 SSL サーバ証明書の場合、CSR を作成する際にこの鍵ペア（キー ペア）を生成します。秘密鍵はサーバに保存され、公開鍵は証明 書に組み込まれて広くその通信相手に公開（配布）されます。公 開鍵を用いて暗号化されたデータは、その対となる秘密鍵でのみ 複合化することができます。つまり、秘密鍵が漏洩すると、理論 的には SSL 通信の内容を解読することができます。

秘密鍵の保存場所

「公開鍵暗号方式」を用いている場合、「秘密鍵」（プライベート鍵） は他の誰にも開示してはならず、安全に管理しなければなりませ ん。しかし、厳重に保管しても運用の妨げになるようでは困ります。 実際には、ハッカーや攻撃者はウェブサーバやデータベースに直 接侵入してデータを盗もうと試みることが多く、SSL の通信内容 を解読するためだけに秘密鍵を盗もうと試みるケースは少ないと 言われています。運用のしやすさと御社のセキュリティ対策状況を 鑑みて保存方法を選択するのがよいでしょう（表 1）。 秘密鍵の保管方法 安全度 メリット デメリット 1 専用のハードウェアを用いて_{秘密鍵を暗号化して保管する} 高 ・ ウェブサーバが侵入を受けた場合でも、秘密鍵を保_護できる ・ 専用のハードウェアを使用するためコストがかかる 2 ウェブサーバ上のファイルに_{鍵を暗号化して保存する} 中 ・ 鍵がパスフレーズによって保護される_{・コストがかからない} ・ ウェブサーバを再起動した場合に都度パスフレーズの入力を求められる ・ 暗号化されていない鍵を容易にみつけることができる 表1：秘密鍵の保存場所

バックアップしたキーペアは、セキュリティ上非常に重要なデータ となることに留意し、物理的にアクセスが制限された金庫に保管し ておくなど、厳重に管理することをお奨めします。また、ネットワー クの通信環境を用いて、鍵の受け渡しする場合には必ず暗号化さ れた環境で行いましょう。

4-2. 暗号化仕様 (Cipher Suite) の設定

SSL 通信中のウェブサーバとブラウザ間の通信で利用される「共 通鍵暗号」の暗号化仕様の設定を行いましょう。ウェブブラウ ザ（クライアント）ではより多くのサーバとの接続を可能とするた め、SSL のプロトコルには弱い暗号も含めてさまざまな暗号化仕 様（Cipher Suite）が実装されており、それぞれの優先順位を 決めています。ウェブサーバ側でどの暗号化仕様を優先的に利用 するのか設定をしないと、SSL 接続ネゴシエーション時に無意識 に弱い暗号化仕様が選択されていることが起こりえます。より安 全な通信を行うためには、あらかじめサーバ側で「弱い暗号は利 用不可」、または「暗号強度の高い順に選択」など、適切な設定 を行いましょう。 （参考）独立行政法人　情報処理推進機構（IPA) 公開ＳＳＬサー バ設定状況等の調査報告書 （図表）推奨された暗号アルゴリズムで構成された Cipher Suite http://www.ipa.go.jp/security/fy24/reports/cryptrec/ ssl-server/documents/cryptrec2012-ssl-server.pdf

4-3. 暗号はいつか解読される !?

暗号化アルゴリズムの安全性は、コンピュータの性能向上や暗号 解読技術の進歩によって徐々に低下していきます。常に安全な状 態を保つために、より強度の高い暗号化技術を取り入れていくこ とが求められます。これは、SSL 通信においても同じこと。SSL を導入しているから今もこれからも「安全」なのではなく、現在 の技術による安全性はいつか「低下していくこと」、を認識して おくことが必要です。SSL を導入する際には、毎年同じ鍵長で CSR を作成するのではなく、公開鍵長がより長いものを採用して CSR を作成したり、中間 CA 証明書やルート CA 証明書も含め対 策を講じている認証局を選択するのが好ましいでしょう。

「2010 年問題」

2010 年は、まさに強度の高い暗号化アルゴリズムへの「移行」 が進められた時期でした。セキュリティの観点では、より安全な 暗号化技術を取り入れていくのが望ましい一方で、SSL/TLS 通 信に支えられる情報システムの可用性を損なうことなく移行する ことが重要です。これらの課題は、「暗号アルゴリズムにおける 2010 年問題」として注目され、シマンテックもこれまで積極的 にこの問題に取り組んでいます。 本ケースについては、「暗号アルゴリズムにおける 2010 年問題」 対応ガイド ～問題なく移行するために抑えておきたい、サーバ管

5. エラーは 2 種類に分けて対処する

SSL サーバ証明書をインストールしたのに、SSL で接続できな い、あるいは接続したときにブラウザに警告メッセージが表示され るケースがあります。これらのトラブルの原因は大きく A. サーバ 側の設定によるものと、B. クライアント側の設定によるものに切 り分けることができます。トラブルが発生した場合にはそれぞれの 側面から何らかの設定ミスが無いか確認してみましょう。

5-1. サーバ側の設定

まず、インストールの際に見落としている点がなかったか確認しま す。本資料【付録】を利用してもう一度正しくインストールされて いるかチェックしましょう。また、エラーには SSL 接続ができない 場合と、警告画面が表示される場合の 2 パターンにわかれます。 巻末の【付録】では、各種エラー内容とその原因、対処方法につ いて紹介していますので、トラブルシューティングの際に参考にし てください。このセクションでは、よく発生するエラーについてご 紹介します。

5-1-1. SSL サーバ証明書以外の要因

－ HTTPS のページ構成－

このメッセージはブラウザで表示しようとしているページ内で http （SSL でセキュリティ保護されていない）と https（SSL でセキュ リティ保護されている）で参照されているコンテンツが混在してい る場合に表示されます。 「はい」を選ぶと SSL での保護が効く状態になりますが、一部コ ンテンツが表示されず、サイト管理者が意図しない表示状態となり ます。「いいえ」を選ぶとウェブページコンテンツが全て表示され ますが、SSL での保護が不十分になり、実質 SSL 接続の意味が なくなってしまいます。 この警告を回避するには、サイト管理者が画像ファイル、CSS、 JavaScript などのファイ ル 参 照 や、Flash などを 参 照 する <embed> タグ、<object> タグに述されている URL なども https で記述する必要があります。または「http」、「https」を 含めない相対パスで記述することも一つの方法です。

5-2. クライアント（ブラウザ）側の設定

5-2-1. ルート CA 証明書

SSL を確立するには、SSL サーバ証明書の発行元であるルート CA 証明書があらかじめブラウザに「信頼されたルート CA 証明書」 として登録されている必要があります。もし登録されていない場 合は、Windows Update などの機能を利用して証明書をブラウ ザにインストールしましょう。 各クライアントにより搭載されているルート CA 証明書および証明 書の追加登録方法は異なります。SSL サーバ証明書インストール 後のテストを行う際にはそれぞれ想定するクライアントで SSL 接 続が可能か確認しましょう。携帯電話などクライアント利用者自身 が、ルート CA 証明書をインストールできない場合もありますの でご注意ください。本資料末尾にある【付録】では、Internet Explorer にて搭載されているルート CA 証明書の確認方法をご紹 介しています。

5-2-2. ブラウザのオプション設定

ブラウザの設定によっては、EV SSL 証明書の場合アドレスバー が緑にならない場合があります。検証する際に用いている検証環 境のブラウザ設定を確認しましょう。　

まとめ

SSL サーバ証明書の導入は決して難しいものではありません。導 入手順書やチェックリストを事前に準備しておくことで時間をかけ ずに完了することができます。今回ご紹介した証明書インストール 時の留意点やチェックリストを活用して、より効率的な作業を実現 しましょう。余分な時間をかけることなく SSL サーバ証明書を導 入することができるだけでなく、ウェブサーバに表示されるエラー を事前に解消しておくことで御社のウェブサイトを訪れるユーザに 安心感を与えることができるでしょう。

参考文献

Simson Garfinkel、Gene Spafford、Web セ キ ュリ ティ、 プライバシー＆コマース 第 2 版、2002、株式会社オライリー・ジャ パン

【付録1】チェックリスト ： SSLサーバ証明書　申請時編

1. SSLサーバ証明書　～申請からインストールまで～

はじめに、SSLサーバ証明書を取得する手順について確認してみましょう。 次の表では、シマンテックSSLサーバ証明書を例として証明書の申請からインストールするまでの手順をご紹介いたします。 プロセス 内容 作業区分 1. 申請 申請の準備 SSLサーバ証明書を発行するために必要な情報、書類を準備します。 　例） ウェブサーバを運営する団体名（会社名） 　団体の英文表記名 　申請責任者名、在籍証明書　等 ウェブサーバ担当者

CSRの生成 ウェブサーバでCSR（証明書署名リクエスト：Certificate Signing Request）を作成します。 オンライン申請 シマンテック（認証局）のオンライン申請ページで、SSL サーバ証明書の申請をします。 2. 認証 提出された情報を元に、客観的且つ公平性を保った確認作業（認証）を申請団体に対して行いま す。 シマンテック 3. 発行 SSL サーバ証明書を発行し、申請者へEメールにて送付します。 シマンテック 4. SSLサーバ 証明書の 設定 インストール 作業には主に下記の内容が含まれます。 　・発行されたSSLサーバ証明書のインストール 　・SSLサーバ証明書の上位中間CA証明書のインストール 　・キーペアのバックアップ 　・SSLを有効にする設定 ウェブサーバ担当者 検証 様々なブラウザでSSL接続(https://～)が確立しているか、鍵マークが表示されているか、SSL サーバ証明書のプロファイルが正しいか検証します。　 シールの設定 ウェブページのSSL通信をより視覚的に強調するために、ノートンTM_{セキュアドシールを掲載し} ます（任意）。

2. チェックリスト：SSL サーバ証明書申請時編

作業内容 チェック項目 関連するトラブル・影響範囲 新規申請 □　CSRのコモンネームにサイトのホスト名を正しく記載したか？ 「ドメイン名の不一致」というSSL接続エラーが発生する。 □　 CSRに正しい組織名を記載したか？特に“K.K.” “Ltd.” なども含め正 式な英文表記であるか、スペルミスがないか確認する。 サイトの表記と証明書内の表記が異なるとエンドユーザの信頼性や、企業イメージを損なう原因になる。 □　秘密鍵のバックアップは行ったか？ インストール前にサーバトラブル等で秘密鍵を破損するとSSLサーバ証_{明書をインストールできなくなる。} 更新申請 □　 作成専用のディレクトリ配下（Apache）もしくは仮サイト（IISなど）を_{作成してから、秘密鍵・公開鍵を作成しようとしているか？} 運用中のSSLサーバ証明書の秘密鍵を上書きし、ウェブサーバのSSL通_{信が停止してしまう。}

【付録2】チェックリスト ： SSLサーバ証明書　インストール編

作業内容 チェック項目 関連するトラブル・影響範囲 インストール □　 SSLサーバ証明書を正しくコピーしてインストールした か？メールからコピー＆ペーストする際に不要な改行やス ペースが含まれていないか？ ・ウェブサーバに、証明書をインストールできない。 ・SSLの接続エラーが発生する。 □　 ウェブサーバにSSLサーバ証明書に含まれる公開鍵とペ アの秘密鍵がインストール（もしくは保存）されているか？ □　 秘密鍵、SSLサーバ証明書、中間CA証明書保存先ファイ ルパスに誤記はないか？ □　必要な中間CA証明書をインストールしたか？ □　キーペアのバックアップを行ったか？ バックアップさえあれば、ウェブサーバ故障時や災害時、ハードウェアの変更時に 新しいサーバ環境に移行することができる。バックアップが無い場合、SSLサー バ証明書の再取得が必要となる。 サーバリプレース □　 リプレースする際のサーバは、エクスポートするキーペア のファイルをインポートできるか？ SSLサーバ証明書を新しい環境にインストールできない。 □　キーペアのバックアップは行ったか？ キーペア、SSLサーバ証明書を破損した場合は、SSLサーバ証明書の新規申請・ 再取得が必要となる。

SSLサーバ証明書のインストール方法

SSL サーバ証明書のインストール方法は各ウェブサーバアプリケーションにより異なります。シマンテックでは、主なウェブサーバのインス トール手順は下記のサイトでご紹介しています。詳細は、ウェブサーバのユーザガイドや、各ベンダーへお問い合わせください。 SSL サーバ証明書のインストール手順 https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO24090&actp=LI ST&viewlocale=ja_JP

SSL サーバ証明書の動作検証

インストールが完了したら必ず検証を行い、エラーや警告がブラウザで表示されないか確認しましょう。警告メッセージや、鍵マーク、緑の アドレスバー（EV SSL 証明書の場合）が表示されないといった事象は、ユーザに対して不信感を与え、機会損失や企業イメージが損な われる原因となります。

【付録 3】チェックリスト：SSL サーバ証明書　検証編

SSL サーバ証明書をインストールしたら、各サービスでサポートしている OS 環境下のブラウザにおいて正しく SSL 接続が確立されてい るか検証します。ブラウザで警告が表示されると、鍵マークやグリーンバー（EV SSL 証明書の場合）が表示されなくなり、ユーザに対し て不信感を与え、機会損失や企業イメージが損なわれる原因となります。また、SSL サーバ証明書インストール作業の無用な時間やコス トを抑えるためにも、事前に作業内容とチェック項目を作成しておくのがよいでしょう。 次の表では、検証項目の参考一覧です。エラーが発生する場合は、次のセクションを参考にして問題を解決していきましょう。 プロセス チェック項目 関連するトラブル・影響範囲 インストール後検証 _{□　https://でつながっているか？} SSL接続ができない。 接続のURLが（https://）で始まっていれば、SSL暗号化通信中であ ることが確認できる。また、一般的にSSL接続中はブラウザに施錠した 鍵のマークが表示される。 □　鍵マークが表示されているか？ □　証明書のプロファイルは想定どおりか？ ウェブサイトを運営している団体の組織名が正しく表示されていない。 ウェブサイトに設定されている鍵マークをクリックし、SSLサーバ証明 書を開いて記載されている情報を確認しておくことが必要。 □　サービスをサポートするさまざまなブラウザで接続可能か？ ブラウザにエラー画面が表示される。＊ □　 （EV SSL証明書の場合）ウェブサイトのアドレスが緑色のバーに なるか？ EV SSL証明書の特徴である緑色のバーが正しく表示されない。 □　クロスルートの証明書が正しくチェーンしているか？ SSL接続ができない。 クロスルート形式が用いられている証明書では、それぞれの階層構造 （3階層、または4階層）で正しく検証されるか、確認する必要がある。 ブラウザのルートCA証明書を追加・削除して検証する。 ＊SSL サーバ証明書によってサポートしているブラウザが異なります。

【付録 4】 SSL 接続エラー種別と解決方法

次の表では、SSL に関連するトラブルの原因と解決策について事象別にまとめています。 エラー内容 原因 解決策 証明書をインストールできない

（IIS） ・SSLサーバ証明書の保存方法が不完全。 ・ 送付されたSSLサーバ証明書の（--- BEGIN CERTIFICATE ----） から （--- END CERTIFICATE ---） までをテキストで 保存する。 ・ SSLサーバ証明書インストール先の仮想サイトを削除してしま った。 ・ CSRを生成し保留中になっている仮想サイトを誤って削除してしまった場合は、CSRの生成からやり直す。 ・ CSRを生成した仮想サイトと異なるサイトにインストールしよう としている。 ・CSRを生成した仮想サイトであることを確かめる。 証明書をインストールできない （Apache） ・ 指定したSSLサーバ証明書と秘密鍵ファイルの組み合わせが正 しくない。 ・正しい設定ファイルを指定する。 ＜SSLCertificateKeyFile＞ 　 申請したCSRの秘密鍵ファイルのパスとファイル名を指定する。 ＜SSLCertificateFile＞ 　サーバID (証明書) ファイルのパスとファイル名を指定する。 ウェブサイトに鍵マークが表示 されない ・サーバIDのインストールが正しく完了していない。 ・ ウェブサーバで現在有効になっている証明書のプロファイルを確認し正しくインストールされているか検証する。 ・ フレーム分割しているページ構成で、一部に非SSLページが含 まれている。 ・ フレーム内のすべてのコンテンツをSSL通信に切り替える。ページ構成を変更する。

エラー内容 原因 解決策 httpsで接続できない _{・SSLのポート番号（標準：443）が正しく設定されていない。 ・SSLのポートやネットワーク設定を確認する。} ・ 対象となるサイトが動作していない。 ・サービスの動作状況を確認する。 ・ ブラウザが提示する暗号化仕様とウェブサーバ側の暗号化仕様 が一致していない。 ・ ウェブサーバのアプリケーションが利用する暗号仕様の設定を見直す。 ・ ウェブサーバに中間CA証明書が正しくインストールされてい ない。 ・ 中間証明書をウェブサーバにインストールする。 ・クライアントにルートCA証明書が搭載されていない。 ・クライアントにルートCA証明書をインストールする。_{・クライアントの製造元に問い合わせる。} EV SSL証明書 アドレスバーが緑色にならない ・EV SSL証明書に対応していないブラウザである。 ・ブラウザのバージョンを確認する。_{また携帯電話では緑色のバーに対応しておりません。} ・ インターネット環境に接続できないテスト環境でウェブサーバと 接続確認している。 インターネットに接続できる回線で接続確認する。 （フィッシング情報や証明書の失効情報をダウンロードできる環 境の必要があります） ・ルートCA証明書が搭載されていない。 ・ルートCA証明書をインストールする。 ・ （Internet Explorer 7の場合）ブラウザの「フィッシング詐欺検 出機能」の自動的なウェブサイトの確認機能が無効になっている。 ・ Internet Explorer 7.x を起動し、メニューバーから [ツール] →[フィッシング詐欺検出機能] → [自動的なWebサイトの確認 を有効] をクリックする。 エラーが発生する 【警告メッセージ】 ・ セキュリティ証明書の名前が サイト名と一致しません。 ・CSRで指定されているコモンネームがブラウザのURLと異な る。 ・正しいコモンネームでSSLサーバ証明書を再取得する。 【警告メッセージ】 ・有効期限が切れています。 ・SSLサーバ証明書の有効期限が切れている。 ・ 更新したSSLサーバ証明書が正しくインストールされているか確認する。 ・クライアントの時間が正しく設定されていない。 ・クライアントの時間設定を確認する。 【警告メッセージ】 ・ このWebサイトのセキュリティ 証明書には問題があります。 ・ クライアントにルートCA証明書が登録されていないため、SSL サーバ証明書の検証できない。 ・クライアントにルートCA証明書をインストールする。・信頼されている認証局から発行される証明書を新たに取得する。 ・中間証明書がインストールされていない。 ・中間証明書をインストールする。 【警告メッセージ】 ・ このページにはセキュリティ で保護されている項目と保護 されていない項目が含まれ ています _{https (SSL)のコンテンツと、httpのコンテンツが1つのウェブペ} ージに混合しているため。 ・すべてのコンテンツをhttps (SSL)で表示させる。 注意：フルパス(絶対パス)の場合は、必ずhttpsと記述する。ウェブ コンテンツに直接記載されているリンク先がhttpのものをhttps に変更する。 【警告メッセージ】 セキュリティで保護されたWeb ページコンテンツのみを表示し ますか？ 携帯電話 【警告メッセージ】 ・ この接続先は安全でない可能 性があります。 ・ ウェブサーバにインストールされているSSL サーバ証明書の有 効期限が切れている。 ・インストールしたSSLサーバ証明書の有効期間を確認する。 ・中間CA証明書がサーバにインストールされていない。 ・中間CA証明書をインストールする。 ・ SSLサーバ証明書のコモンネームとURLの接続先が一致して いない。 ・CSRで指定したコモンネームを確認する。 注意：一部携帯端末では、コモンネームの 大文字・小文字の一致ま でを確認している場合があります。

合同会社シマンテック・ウェブサイトセキュリティ https://www.jp.websecurity.symantec.com/ Copyright © Symantec Corporation. All rights reserved.

シマンテック（Symantec）、ノートン（Norton）、およびチェックマークロゴ（the Checkmark Logo）は米国シマンテック・コーポ

【付録 5】ルート CA 証明書の確認方法

ルート CA 証明書の確認

証明書の最上位に位置するルート CA 証明書は、ブラウザベンダ 独自の基準で選定され、出荷時にインストールされています。　 PC ブラウザで、現在搭載されているルート CA 証明書を確認す るには、ブラウザのツール、オプションからアクセスすることがで きます。 ＊ その他クライアントの搭載状況についてはメーカもしくは販売元にお問い合わ せください。

Internet Explorer の場合

1. [ コントロールパネル ] → [ インターネットオプション ] を開く。 「インターネットオプション」ウィンドウが表示されます。 2. [ コンテンツ ] タブの、[ 証明書 ] ボタンをクリックする。 「証明書」ウィンドウが表示されます。 3. 内容を確認したい電子証明書を選択し、[ 表示 ] ボタンを クリックする。