サーバ管理者必見! 失敗しないSSLサーバ証明書導入のキホン

WHITE PAPER:
White Paper
サーバ管理者必見!
失敗しないSSLサーバ証明書導入のキホン
powered by Symantec
White Paper : サーバ管理者必見!失敗しない SSL サーバ証明書導入のキホン
Copyright © Symantec Corporation. All rights reserved. Symantec と Symantec ロゴは、Symantec
Corporation または関連会社の米国およびその他の国における登録商標です。その他の会社名、製品名は各社の
登録商標または商標です。
合同会社シマンテック・ウェブサイトセキュリティは、本書の情報の正確さと完全性を保つべく努力を行って
います。ただし、合同会社シマンテック・ウェブサイトセキュリティは本書に含まれる情報に関して、(明示、
黙示、または法律によるものを問わず)いかなる種類の保証も行いません。合同会社シマンテック・ウェブサ
イトセキュリティは、本書に含まれる誤り、省略、または記述によって引き起こされたいかなる(直接または
間接の)損失または損害についても責任を負わないものとします。さらに、合同会社シマンテック・ウェブサ
イトセキュリティは、本書に記述されている製品またはサービスの適用または使用から生じたいかなる責任も
負わず、特に本書に記述されている製品またはサービスが既存または将来の知的所有権を侵害しないという保
証を否認します。本書は、本書の読者に対し、本書の内容に従って作成された機器または製品の作成、使用、
または販売を行うライセンスを与えるものではありません。最後に、本書に記述されているすべての知的所有
権に関連するすべての権利と特権は、特許、商標、またはサービス ・ マークの所有者に属するものであり、そ
れ以外の者は、特許、商標、またはサービス ・ マークの所有者による明示的な許可、承認、またはライセンス
なしにはそのような権利を行使することができません。
合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更す
る権利を持ちます。
2
White Paper : サーバ管理者必見!失敗しない SSL サーバ証明書導入のキホン
Contents
概要
4
SSL設定 5つのキホン~これだけは確認しよう!~
4
1. 申請内容を確認する
5
2. 中間CA証明書をインストールする
6
3. SSLを有効にする
7
4. 安全なSSL通信を確保する
7
5. エラーは2種類に分けて対処する
8
まとめ
参考文献
【付録1】
チェックリスト:SSLサーバ証明書 申請時編
9
10
1. SSLサーバ証明書 ~申請からインストールまで~
10
2. チェックリスト:SSLサーバ証明書申請時編
10
【付録2】
チェックリスト:SSLサーバ証明書 インストール編
3
9
11
SSLサーバ証明書のインストール方法
11
SSLサーバ証明書の動作検証
11
【付録3】
チェックリスト:SSLサーバ証明書 検証編
12
【付録4】SSL接続エラー種別と解決方法
12
【付録5】ルートCA証明書の確認方法
14
White Paper : サーバ管理者必見!失敗しない SSL サーバ証明書導入のキホン
概要
SSL(Secure Sockets Layer)サーバ証明書には、サーバを
運営する団体の実在性を証明する機能とウェブサーバとクライアン
ト間の通信を暗号化する機能があります。この機能を用いること
で安全なウェブサイトの通信環境を構築し、ウェブサイトの訪問者
に安心して利用してもらうことができるようになります。ただし、こ
れは SSL サーバ証明書を正しく利用すれば・・・の話。SSL サー
バ証明書のインストールが適切でないとエラーや警告画面が表示
され、逆にウェブサイト訪問者を不安にさせてしまいます。
SSL サーバ証明書の導入は決して難しい作業ではありません。作
業内容がわかっていれば、導入と検証に要する時間は短時間です
みます。しかし、実際に SSL サーバ証明書を導入するのは多くの
場合、1 年、もしくは複数年に 1 度。手順を忘れた、手順書が見
当たらない、など内容を思い出すことからはじめるため、どうして
も作業が煩雑になりがちです。結果、トラブルシューティングに予
想以上の時間がかかり作業に何日も費やすことになりかねません。
当資料では、このような問題を解決するためにサーバ管理者が見
落としがちな点や注意しておくべき点をピックアップしてわかりやす
く解説してきます。作業前に一読しておくと、発生しやすいトラブ
ルを回避して導入に関連する時間の浪費を防ぐことができるでしょ
う。また、巻末の付録には、各種チェックリスト、およびトラブル
シューティング集を掲載しています。作業をしながら必要な項目の
み確認していくのもよいでしょう。SSL サーバ証明書の導入手順
書として是非ご活用ください。
4
SSL 設定 5 つのキホン
~これだけは確認しよう!~
実際に SSL サーバ証明書を申請してから SSL を利用可能にする
までの一連の作業における注意点を 5 つのポイントとしてまとめま
した。実際に作業にとりかかる前にそれぞれのポイントについて理
解しておくと、作業をスムーズに行うことができるでしょう。
1 申請内容を確認する
2 中間CA証明書をインストールする
3 SSLを有効にする
4 安全なSSL通信を確保する
5 エラーは2種類に分けて対処する
※ SSL サーバ証明書の申請からインストールまでの手順、およびインストール
方法については本資料の【付録】をご参照ください。
White Paper : サーバ管理者必見!失敗しない SSL サーバ証明書導入のキホン
1. 申請内容を確認する
1-1. 申請情報と書類の用意
SSL サーバ証明書を認証局に申請する際には、申請団体情報、
EV SSL 証明書の場合は、上記の項目に加え固定値、または申
請団体の区分による入力情報の違いがありますので特にご注意く
ださい。詳細は下記 URL を参考にしましょう。
申請責任者情報、ドメイン情報を提出します。また、それぞれが
https://knowledge.verisign.co.jp/support/ssl-
正しい情報であることを証明する書類が必要になることがありま
certificates-support/index?page=content&id=SO2330
す。あらかじめ必要な情報と提出書類を準備しておくと、オンライ
7&actp=LIST&viewlocale=ja_JP
ン申請から証明書発行までの時間を短縮することができます。
例)主な確認事項 (シマンテック SSL サーバ証明書の場合)
図 1:証明書のサブジェクト
・申請団体:サーバ ID を申請する団体名は何か?
・申請責任者:申請責任者として登録する担当者は誰か?
・ウェブサイト:利用しているドメイン名の所有名義は何か?
提出する内容と種類は SSL サーバ証明書の種類(企業認証、ド
メイン認証、クライアント認証など)、および申請する団体の属性
(法人、地方公共団体、大学など)やドメインの所有者の状況な
どにより異なります。多くの証明書を扱うお客様向けにご用意して
いるエンタープライズ向けサービス(マネージド PKI for SSL)
を利用する場合は、手続き方法が異なるので申請前にシマンテッ
クのような認証局ベンダーに確認しましょう。
1-2. CSR の生成
CSR(Certificate Signing Request)とは、認証局に署名し
てもらうための、テキスト形式の署名要求のことです。CSR は、
各自のウェブサーバで簡単に作成することができますが、作成する
前にあらかじめディスティングイッシュネーム(DN)を決めておく
必要があります。
ディスティングイッシュネームは [ 証明書の詳細タブ ] のサブジェク
トに表示される情報です。ウェブサイト利用者が閲覧する内容で
すので、正確に記述する必要があります。部門名 (OU) には、お
客様が指定した情報のほかに複数の情報が表示されることがあり
ますのでご注意ください。
【ディスティングイッシュネーム】
コモンネーム
(Common Name)
組織(Organization)
部門名
(Organizational Unit)
5
ディスティングイッシュネームの中でも一番重要な情報はコモン
ネーム(CN)です。これは、SSL サーバ証明書はホスト名を含
む特定のドメイン名で使用するように設定されています。CSR に
含まれるコモンネームは、実際に運用するウェブサイトのホスト名
と一致していなければならず、間違えているとウェブサイトのホス
ト名と一致せず SSL 通信時にエラーが発生します。この問題を
解消するには、CSR を作り直し、新しい証明書を申請しなければ
いけませんので、CSR 作成時には充分に注意しましょう。シマン
SSL暗号化通信を行うサイトのURL
テックでは、初回発行日から 30 日以内に限り再取得のサービス
ウェブサイトを運営する組織の正式団体名
を無料で提供しています。誤ったコモンネームの SSL サーバ証
部門・部署名など、識別名称
明書を取得した際には、30 日以内に再取得の手続きを行いましょ
市区町村名 (Locality)
ウェブサイトを運営する組織の
市区町村名
都道府県
(State or Province)
ウェブサイトを運営する組織の都道府県名
国名(Country)
ISO規定の 日本の国コード JP
う。
【コモンネーム 例】
運営するサイト
コモンネーム
例)https://www.symantec.com
→
www.symantec.com
例)https://symantec.com
→
symantec.com
White Paper : サーバ管理者必見!失敗しない SSL サーバ証明書導入のキホン
2. 中間 CA 証明書をインストールする
2-2. 4 階層以上の SSL サーバ証明書
2-1. 中間 CA 証明書のインストール
もし証明書が 4 階層で構成されている場合は、中間 CA 証明書を
ブラウザ(HTTP のクライアント)は、ウェブサーバから送付され
た SSL サーバ証明書の署名、中間 CA 証明書の署名、およびブ
ラウザに保存されているルート CA 証明書を照合してその信頼性
を検証します。SSL サーバ証明書は階層構造になっていますから、
SSL サーバ証明書と最上位のルート CA 証明書までのパスを正し
2 つインストールしなければなりません。Apache 等、中間 CA
証明書のインストールの順番が正しくないと、最上位のルート認証
局まで正しくたどれない場合がありますので注意しましょう。
(参考)Apache + OpenSSL 中間 CA 証明書のインストール手順
くたどるためには、中間 CA 証明書が必要です。SSL サーバ証
https://knowledge.verisign.co.jp/support/ssl-
明書をウェブサーバにインストールする際には、忘れずに中間 CA
certificates-support/index?page=content&id=SO2341
証明書もインストールしましょう。
5&actp=LIST&viewlocale=ja_JP
また、認証局ベンダーはセキュリティ対策の一環として新しい中
間 CA 証明書を発行、または入れ替えする場合があります。SSL
サーバ証明書更新時にも必ず中間 CA 証明書が正しい組み合わ
せになっていることを確認しましょう。一部の環境では Internet
Explorer で中 間 CA 証 明 書がウェブサ ー バにインストー ルさ
れていない場合でも、証明書の検証が完了する場合がありま
す。これは、一部の環境の Internet Explorer が自動的に中間
CA 証明書をダウンロードし取得する機能を持っているからです。
しかし、他のほとんどのブラウザは正しい中間 CA 証明書をサー
バ接続時に用意しておかないと、エラーが発生しますのでご注意く
ださい。
シマンテック EV SSL 証明書「クロスルート方式」
シマンテックでは、2 種類の独立したルート CA 証明書を利用して
署名検証を行う「クロスルート」方式が用いられている製品があり
ます。ブラウザ(クライアント)に搭載されているルート CA 証明
書によって 3 階層(下図 a → b →ルート CA 証明書)で署名検
証される場合と、4 階層構成(下図 a → b → c →ルート CA 証
明書)で検証される場合があります。この形式が採用されている
場合は、証明書導入後の検証では 3 階層および 4 階層どちらの
階層においても検証できることを確認しましょう。
図 2:シマンテック クロスルート方式(例)
例:シマンテック グローバル・サーバ ID EV の階層構造
■G5 ルートを持たない古いブラウザの場合
G1 ルートをアンカーとして、4 階層で署名検証される
VeriSign Class3
Public Primary CA
(通称 G1 ルート)
署名アルゴリズム:SHA-1
公開鍵長:1,024bit
(c)
VeriSign Class3
Public Primary CA - G5
(通称 G5 ルート)
署名アルゴリズム:SHA-1
公開鍵長:2,048bit
VeriSign Class3
Public Primary CA - G5
署名アルゴリズム:SHA-1
公開鍵長:2,048bit
ウェブサーバの設定
・ 認証局から発行された End-Entity 証
明書 (a) と併せ、2 階層分の中間証明
書 ((b) および (c)) の計 3 種類の証明
書をサーバへインストール
・ クライアントからの通信要求時には 3
種類の証明書をダウンロードさせる
クライアント PC のブラウザに
プレインストールされているルート証明書
6
■G5 ルートを持つ新しいブラウザの場合
G5 ルートをアンカーとして、3 階層で署名検証される
※この場合、中間証明書 (c) は無視される
(b)
(a)
VeriSign Class3
Extended Validation SSL SGC CA
署名アルゴリズム:SHA-1
公開鍵長:2,048bit
SSL サーバ証明書(End-Entity)
署名アルゴリズム:SHA-1
公開鍵長:2,048bit
ウェブサーバ等にインストールする
中間証明書
ウェブサーバ等にインストールする
サーバ証明書
White Paper : サーバ管理者必見!失敗しない SSL サーバ証明書導入のキホン
2-3. 正しくパスをたどれるか?
4. 安全な SSL 通信を確保する
中間 CA 証明書はすべての製品に共通ではなく、それぞれの
一般的に、『SSL を導入すれば安全だ』 『SSL を導入したから
SSL サーバ証明書専用の中間 CA 証明書が用意されています。
正しい中間 CA 証明書をインストールできていることを確認するこ
とが必要です。以下のサイトでは、中間 CA 証明書が正しくイン
ストールされ、且つルート CA 証明書まで正しくたどれているか確
通信の機密性は確保されている』と考えがちですが、決してそう
とは言い切れません。実際には、SSL のサーバ証明書の秘密鍵
さえ取得できれば SSL を乗っ取ることができてしまいます。また、
SSL 接続時に使われている暗号技術は、「強度」が弱いものから
認するためのツールをご紹介しています。
強いものまで様々です。HTTPS 通信のセキュリティを最適化す
https://knowledge.verisign.co.jp/support/ssl-
る方法をみてみましょう。
certificates-support/index?page=content&id=SO2287
4-1. 秘
密鍵さえ取得できれば SSL を乗っ取ることがで
きる !?
5&actp=LIST&viewlocale=ja_JP
SSL には、SSL 接続開始時に「公開鍵暗号方式」という暗号化
技術が用いられています。この方式では、公開鍵と秘密鍵が 1 ペ
2-4. PKCS7 形式の SSL サーバ証明書
アとして作動し、それぞれの鍵を用いてデータの暗号化・複合化
証明書には複数の形式があります。SSL サーバ証明書申請時に、
を行っています(SSL の仕組みは、以下のホームページで詳しく
「サーバソフトウェア」の項で "Microsoft" を選択した場合、中
ご紹介しています。http://www.symantec.com/ja/jp/page.
jsp?id=how-ssl-works)。
間 CA 証明書が SSL サーバ証明書とパックされた PKCS7 形式
の証明書が発行される場合があります。PKCS7 形式の証明書を
SSL サーバ証明書の場合、CSR を作成する際にこの鍵ペア(キー
インストールした場合は、中間 CA 証明書をインストールする必要
ペア)を生成します。秘密鍵はサーバに保存され、公開鍵は証明
はありません。
書に組み込まれて広くその通信相手に公開(配布)されます。公
開鍵を用いて暗号化されたデータは、その対となる秘密鍵でのみ
複合化することができます。つまり、秘密鍵が漏洩すると、理論
3. SSL を有効にする
的には SSL 通信の内容を解読することができます。
3-1. ウェブサーバの設定
秘密鍵の保存場所
SSL サーバ証明書と中間 CA 証明書をインストールしたら、次に
サーバの SSL の設定を確認しましょう。ウェブサーバの種類によっ
「公開鍵暗号方式」を用いている場合、
「秘密鍵」
(プライベート鍵)
は他の誰にも開示してはならず、安全に管理しなければなりませ
ては、SSL を有効にする設定が求められます。詳細は、ウェブサー
ん。しかし、厳重に保管しても運用の妨げになるようでは困ります。
バのユーザガイドを確認してください。
実際には、ハッカーや攻撃者はウェブサーバやデータベースに直
接侵入してデータを盗もうと試みることが多く、SSL の通信内容
3-2. HTTPS 専用ポートの指定
HTTPS 通信(SSL 機能)の場合は、HTTP と HTTPS の通信
を解読するためだけに秘密鍵を盗もうと試みるケースは少ないと
を見分けるためにそれぞれ異なるポートを準備します。忘れずに
SSL 専用のポート番号(標準:443)を指定し、ポートが正しく
言われています。運用のしやすさと御社のセキュリティ対策状況を
鑑みて保存方法を選択するのがよいでしょう(表 1)。
設定されていることを確認しましょう。
表1:秘密鍵の保存場所
7
秘密鍵の保管方法
安全度
メリット
デメリット
1
専用のハードウェアを用いて
秘密鍵を暗号化して保管する
高
・ウェブサーバが侵入を受けた場合でも、秘密鍵を保
護できる
・専用のハードウェアを使用するためコストがかかる
2
ウェブサーバ上のファイルに
鍵を暗号化して保存する
中
・鍵がパスフレーズによって保護される
・コストがかからない
・ウェブサーバを再起動した場合に都度パスフレーズの入力
を求められる
・暗号化されていない鍵を容易にみつけることができる
3
ウェブサーバ上のファイルに
鍵を保存する
低
・コストがかからない
・運用が楽である
・サーバに侵入された場合、SSL通信内容を解読することが
できる
White Paper : サーバ管理者必見!失敗しない SSL サーバ証明書導入のキホン
バックアップしたキーペアは、セキュリティ上非常に重要なデータ
となることに留意し、物理的にアクセスが制限された金庫に保管し
ておくなど、厳重に管理することをお奨めします。また、ネットワー
クの通信環境を用いて、鍵の受け渡しする場合には必ず暗号化さ
れた環境で行いましょう。
4-2. 暗号化仕様 (Cipher Suite) の設定
SSL 通信中のウェブサーバとブラウザ間の通信で利用される「共
通鍵暗号」 の暗号化仕様の設定を行いましょう。ウェブブラウ
ザ(クライアント)ではより多くのサーバとの接続を可能とするた
め、SSL のプロトコルには弱い暗号も含めてさまざまな暗号化仕
様(Cipher Suite)が実装されており、それぞれの優先順位を
決めています。ウェブサーバ側でどの暗号化仕様を優先的に利用
するのか設定をしないと、SSL 接続ネゴシエーション時に無意識
に弱い暗号化仕様が選択されていることが起こりえます。より安
全な通信を行うためには、あらかじめサーバ側で「弱い暗号は利
用不可」、または「暗号強度の高い順に選択」など、適切な設定
を行いましょう。
(参考)独立行政法人 情報処理推進機構(IPA) 公開SSLサー
バ設定状況等の調査報告書
(図表)推奨された暗号アルゴリズムで構成された Cipher Suite
http://www.ipa.go.jp/security/fy24/reports/cryptrec/
ssl-server/documents/cryptrec2012-ssl-server.pdf
4-3. 暗号はいつか解読される !?
暗号化アルゴリズムの安全性は、コンピュータの性能向上や暗号
解読技術の進歩によって徐々に低下していきます。常に安全な状
態を保つために、より強度の高い暗号化技術を取り入れていくこ
とが求められます。これは、SSL 通信においても同じこと。SSL
を導入しているから今もこれからも「安全」なのではなく、現在
SSL サーバ証明書をインストールしたのに、SSL で接続できな
い、あるいは接続したときにブラウザに警告メッセージが表示され
るケースがあります。これらのトラブルの原因は大きく A. サーバ
側の設定によるものと、B. クライアント側の設定によるものに切
り分けることができます。トラブルが発生した場合にはそれぞれの
側面から何らかの設定ミスが無いか確認してみましょう。
5-1. サーバ側の設定
まず、インストールの際に見落としている点がなかったか確認しま
す。本資料【付録】を利用してもう一度正しくインストールされて
いるかチェックしましょう。また、エラーには SSL 接続ができない
場合と、警告画面が表示される場合の 2 パターンにわかれます。
巻末の【付録】では、各種エラー内容とその原因、対処方法につ
いて紹介していますので、トラブルシューティングの際に参考にし
てください。このセクションでは、よく発生するエラーについてご
紹介します。
5-1-1. SSL サーバ証明書以外の要因
- HTTPS のページ構成-
このメッセージはブラウザで表示しようとしているページ内で http
(SSL でセキュリティ保護されていない)と https(SSL でセキュ
リティ保護されている)で参照されているコンテンツが混在してい
る場合に表示されます。
「はい」を選ぶと SSL での保護が効く状態になりますが、一部コ
ンテンツが表示されず、サイト管理者が意図しない表示状態となり
ます。「いいえ」を選ぶとウェブページコンテンツが全て表示され
ますが、SSL での保護が不十分になり、実質 SSL 接続の意味が
なくなってしまいます。
の技術による安全性はいつか「低下していくこと」、を認識して
この警告を回避するには、サイト管理者が画像ファイル、CSS、
おくことが必要です。SSL を導入する際には、毎年同じ鍵長で
JavaScript な ど の ファイ ル 参 照 や、Flash な どを 参 照 す る
CSR を作成するのではなく、公開鍵長がより長いものを採用して
<embed> タグ、<object> タグに述されている URL なども
CSR を作成したり、中間 CA 証明書やルート CA 証明書も含め対
https で記述する必要があります。または「http」、「https」を
策を講じている認証局を選択するのが好ましいでしょう。
含めない相対パスで記述することも一つの方法です。
「2010 年問題」
2010 年は、まさに強度の高い暗号化アルゴリズムへの「移行」
が進められた時期でした。セキュリティの観点では、より安全な
暗号化技術を取り入れていくのが望ましい一方で、SSL/TLS 通
信に支えられる情報システムの可用性を損なうことなく移行する
ことが重要です。これらの課題は、「暗号アルゴリズムにおける
2010 年問題」として注目され、シマンテックもこれまで積極的
にこの問題に取り組んでいます。
本ケースについては、
「暗号アルゴリズムにおける 2010 年問題」
対応ガイド ~問題なく移行するために抑えておきたい、サーバ管
理者のためのチェックリスト 10 項目~」としてホワイトペーパを
ご提供しております。是非参考にしてください。
8
5. エラーは 2 種類に分けて対処する
図 3:エラーメッセージ ( 例)
White Paper : サーバ管理者必見!失敗しない SSL サーバ証明書導入のキホン
5-2. クライアント(ブラウザ)側の設定
5-2-1. ルート CA 証明書
SSL を確立するには、SSL サーバ証明書の発行元であるルート
CA 証明書があらかじめブラウザに「信頼されたルート CA 証明書」
として登録されている必要があります。もし登録されていない場
合は、Windows Update などの機能を利用して証明書をブラウ
ザにインストールしましょう。
各クライアントにより搭載されているルート CA 証明書および証明
書の追加登録方法は異なります。SSL サーバ証明書インストール
後のテストを行う際にはそれぞれ想定するクライアントで SSL 接
SSL サーバ証明書の導入は決して難しいものではありません。導
入手順書やチェックリストを事前に準備しておくことで時間をかけ
ずに完了することができます。今回ご紹介した証明書インストール
時の留意点やチェックリストを活用して、より効率的な作業を実現
しましょう。余分な時間をかけることなく SSL サーバ証明書を導
入することができるだけでなく、ウェブサーバに表示されるエラー
を事前に解消しておくことで御社のウェブサイトを訪れるユーザに
安心感を与えることができるでしょう。
続が可能か確認しましょう。携帯電話などクライアント利用者自身
参考文献
が、ルート CA 証明書をインストールできない場合もありますの
Simson Garfinkel、Gene Spafford、Web セ キ ュリ テ ィ、
でご注意ください。 本資料末尾にある【付録】では、Internet
Explorer にて搭載されているルート CA 証明書の確認方法をご紹
介しています。
5-2-2. ブラウザのオプション設定
ブラウザの設定によっては、EV SSL 証明書の場合アドレスバー
が緑にならない場合があります。検証する際に用いている検証環
境のブラウザ設定を確認しましょう。 9
まとめ
プライバシー&コマース 第 2 版、2002、株式会社オライリー・ジャ
パン
White Paper : サーバ管理者必見!失敗しない SSL サーバ証明書導入のキホン
【付録1】
チェックリスト:SSLサーバ証明書 申請時編
1. SSLサーバ証明書 ~申請からインストールまで~
はじめに、SSLサーバ証明書を取得する手順について確認してみましょう。
次の表では、
シマンテックSSLサーバ証明書を例として証明書の申請からインストールするまでの手順をご紹介いたします。
プロセス
1. 申請
申請の準備
内容
作業区分
SSLサーバ証明書を発行するために必要な情報、書類を準備します。
ウェブサーバ担当者
例)ウェブサーバを運営する団体名(会社名)
団体の英文表記名
申請責任者名、在籍証明書 等
CSRの生成
ウェブサーバでCSR(証明書署名リクエスト:Certificate Signing Request)
を作成します。
オンライン申請
シマンテック
(認証局)のオンライン申請ページで、SSL サーバ証明書の申請をします。
2. 認証
提出された情報を元に、客観的且つ公平性を保った確認作業(認証)
を申請団体に対して行いま
シマンテック
す。
3. 発行
4. S
SLサーバ
証明書の
設定
インストール
SSL サーバ証明書を発行し、申請者へEメールにて送付します。
シマンテック
作業には主に下記の内容が含まれます。
ウェブサーバ担当者
・発行されたSSLサーバ証明書のインストール
・SSLサーバ証明書の上位中間CA証明書のインストール
・キーペアのバックアップ
・SSLを有効にする設定
検証
様々なブラウザでSSL接続(https://~)が確立しているか、鍵マークが表示されているか、SSL
サーバ証明書のプロファイルが正しいか検証します。 シールの設定
ウェブページのSSL通信をより視覚的に強調するために、
ノートンTMセキュアドシールを掲載し
ます
(任意)。
2. チェックリスト:SSL サーバ証明書申請時編
作業内容
チェック項目
□ CSRのコモンネームにサイトのホスト名を正しく記載したか?
新規申請
更新申請
10
関連するトラブル・影響範囲
「ドメイン名の不一致」
というSSL接続エラーが発生する。
□ CSRに正しい組織名を記載したか?特に
“K.K.”
“Ltd.”なども含め正 サイトの表記と証明書内の表記が異なるとエンドユーザの信頼性や、
企業
式な英文表記であるか、
スペルミスがないか確認する。
イメージを損なう原因になる。
□ 秘密鍵のバックアップは行ったか?
インストール前にサーバトラブル等で秘密鍵を破損するとSSLサーバ証
明書をインストールできなくなる。
□ 作成専用のディレクトリ配下(Apache)
もしくは仮サイト
(IISなど)
を
作成してから、秘密鍵・公開鍵を作成しようとしているか?
運用中のSSLサーバ証明書の秘密鍵を上書きし、
ウェブサーバのSSL通
信が停止してしまう。
White Paper : サーバ管理者必見!失敗しない SSL サーバ証明書導入のキホン
【付録2】
チェックリスト:SSLサーバ証明書 インストール編
作業内容
チェック項目
インストール
□ SSLサーバ証明書を正しくコピーしてインストールした
関連するトラブル・影響範囲
・ウェブサーバに、証明書をインストールできない。
か?メールからコピー&ペーストする際に不要な改行やス ・SSLの接続エラーが発生する。
ペースが含まれていないか?
□ ウェブサーバにSSLサーバ証明書に含まれる公開鍵とペ
アの秘密鍵がインストール
(もしくは保存)
されているか?
□ 秘密鍵、SSLサーバ証明書、中間CA証明書保存先ファイ
ルパスに誤記はないか?
□ 必要な中間CA証明書をインストールしたか?
バックアップさえあれば、
ウェブサーバ故障時や災害時、
ハードウェアの変更時に
□ キーペアのバックアップを行ったか?
新しいサーバ環境に移行することができる。バックアップが無い場合、SSLサー
バ証明書の再取得が必要となる。
サーバリプレース
□ リプレースする際のサーバは、
エクスポートするキーペア
のファイルをインポートできるか?
□ キーペアのバックアップは行ったか?
SSLサーバ証明書を新しい環境にインストールできない。
キーペア、SSLサーバ証明書を破損した場合は、SSLサーバ証明書の新規申請・
再取得が必要となる。
SSLサーバ証明書のインストール方法
SSL サーバ証明書のインストール方法は各ウェブサーバアプリケーションにより異なります。シマンテックでは、主なウェブサーバのインス
トール手順は下記のサイトでご紹介しています。詳細は、ウェブサーバのユーザガイドや、各ベンダーへお問い合わせください。
SSL サーバ証明書のインストール手順
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO24090&actp=LI
ST&viewlocale=ja_JP
SSL サーバ証明書の動作検証
インストールが完了したら必ず検証を行い、エラーや警告がブラウザで表示されないか確認しましょう。警告メッセージや、鍵マーク、緑の
アドレスバー(EV SSL 証明書の場合)が表示されないといった事象は、ユーザに対して不信感を与え、機会損失や企業イメージが損な
われる原因となります。
11
White Paper : サーバ管理者必見!失敗しない SSL サーバ証明書導入のキホン
【付録 3】チェックリスト:SSL サーバ証明書 検証編
SSL サーバ証明書をインストールしたら、各サービスでサポートしている OS 環境下のブラウザにおいて正しく SSL 接続が確立されてい
るか検証します。ブラウザで警告が表示されると、鍵マークやグリーンバー(EV SSL 証明書の場合)が表示されなくなり、ユーザに対し
て不信感を与え、機会損失や企業イメージが損なわれる原因となります。また、SSL サーバ証明書インストール作業の無用な時間やコス
トを抑えるためにも、事前に作業内容とチェック項目を作成しておくのがよいでしょう。
次の表では、検証項目の参考一覧です。エラーが発生する場合は、次のセクションを参考にして問題を解決していきましょう。
プロセス
インストール後検証
チェック項目
関連するトラブル・影響範囲
□ https://でつながっているか?
SSL接続ができない。
接続のURLが
(https://)
で始まっていれば、SSL暗号化通信中であ
ることが確認できる。また、一般的にSSL接続中はブラウザに施錠した
□ 鍵マークが表示されているか?
鍵のマークが表示される。
ウェブサイトを運営している団体の組織名が正しく表示されていない。
□ 証明書のプロファイルは想定どおりか?
ウェブサイトに設定されている鍵マークをクリックし、SSLサーバ証明
書を開いて記載されている情報を確認しておくことが必要。
□ サービスをサポートするさまざまなブラウザで接続可能か?
*
ブラウザにエラー画面が表示される。
□ (EV SSL証明書の場合)
ウェブサイトのアドレスが緑色のバーに
EV SSL証明書の特徴である緑色のバーが正しく表示されない。
なるか?
SSL接続ができない。
□ クロスルートの証明書が正しくチェーンしているか?
クロスルート形式が用いられている証明書では、それぞれの階層構造
(3階層、
または4階層)
で正しく検証されるか、確認する必要がある。
ブラウザのルートCA証明書を追加・削除して検証する。
* SSL サーバ証明書によってサポートしているブラウザが異なります。
【付録 4】SSL 接続エラー種別と解決方法
次の表では、SSL に関連するトラブルの原因と解決策について事象別にまとめています。
エラー内容
原因
証明書をインストールできない
(IIS)
・SSLサーバ証明書の保存方法が不完全。
12
・送付されたSSLサーバ証明書の(----- BEGIN CERTIFICATE
----)から(----- END CERTIFICATE -----)までをテキストで
保存する。
・SSLサーバ証明書インストール先の仮想サイトを削除してしま
った。
・CSRを生成し保留中になっている仮想サイトを誤って削除してし
まった場合は、CSRの生成からやり直す。
・CSRを生成した仮想サイトと異なるサイトにインストールしよう
としている。
・CSRを生成した仮想サイトであることを確かめる。
・指定したSSLサーバ証明書と秘密鍵ファイルの組み合わせが正
しくない。
・正しい設定ファイルを指定する。
<SSLCertificateKeyFile>
申請したCSRの秘密鍵ファイルのパスとファイル名を指定する。
<SSLCertificateFile>
サーバID (証明書) ファイルのパスとファイル名を指定する。
・サーバIDのインストールが正しく完了していない。
・ウェブサーバで現在有効になっている証明書のプロファイルを確
認し正しくインストールされているか検証する。
・フレーム分割しているページ構成で、一部に非SSLページが含
まれている。
・フレーム内のすべてのコンテンツをSSL通信に切り替える。ペー
ジ構成を変更する。
・ページ内に非SSLリンク設定が設定されている。
・絶対パスでリンク指定されていないか確認する。
証明書をインストールできない
(Apache)
ウェブサイトに鍵マークが表示
されない
解決策
White Paper : サーバ管理者必見!失敗しない SSL サーバ証明書導入のキホン
エラー内容
httpsで接続できない
原因
解決策
・SSLのポート番号(標準:443)
が正しく設定されていない。
・SSLのポートやネットワーク設定を確認する。
・対象となるサイトが動作していない。
・サービスの動作状況を確認する。
・ブラウザが提示する暗号化仕様とウェブサーバ側の暗号化仕様
が一致していない。
・ウェブサーバのアプリケーションが利用する暗号仕様の設定を
見直す。
・ウェブサーバに中間CA証明書が正しくインストールされてい
ない。
・中間証明書をウェブサーバにインストールする。
・クライアントにルートCA証明書が搭載されていない。
・クライアントにルートCA証明書をインストールする。
・クライアントの製造元に問い合わせる。
・EV SSL証明書に対応していないブラウザである。
・ブラウザのバージョンを確認する。
また携帯電話では緑色のバーに対応しておりません。
・インターネット環境に接続できないテスト環境でウェブサーバと
接続確認している。
インターネットに接続できる回線で接続確認する。
(フィッシング情報や証明書の失効情報をダウンロードできる環
境の必要があります)
・ルートCA証明書が搭載されていない。
・ルートCA証明書をインストールする。
・
(Internet Explorer 7の場合)
ブラウザの「フィッシング詐欺検
出機能」の自動的なウェブサイトの確認機能が無効になっている。
・Internet Explorer 7.x を起動し、
メニューバーから [ツール]
→[フィッシング詐欺検出機能] → [自動的なWebサイトの確認
を有効] をクリックする。
エラーが発生する
【警告メッセージ】
・セキュリティ証明書の名前が
サイト名と一致しません。
・CSRで指定されているコモンネームがブラウザのURLと異な
る。
・正しいコモンネームでSSLサーバ証明書を再取得する。
【警告メッセージ】
・有効期限が切れています。
・SSLサーバ証明書の有効期限が切れている。
・更新したSSLサーバ証明書が正しくインストールされているか
確認する。
・クライアントの時間が正しく設定されていない。
・クライアントの時間設定を確認する。
EV SSL証明書
アドレスバーが緑色にならない
【警告メッセージ】
・クライアントにルートCA証明書が登録されていないため、SSL
・このWebサイトのセキュリティ
サーバ証明書の検証できない。
証明書には問題があります。
・中間証明書がインストールされていない。
【警告メッセージ】
・このページにはセキュリティ
で保護されている項目と保護
されていない項目が含まれ
ています
【警告メッセージ】
セキュリティで保護されたWeb
ページコンテンツのみを表示し
ますか?
携帯電話
【警告メッセージ】
・この接続先は安全でない可能
性があります。
・クライアントにルートCA証明書をインストールする。
・信頼されている認証局から発行される証明書を新たに取得する。
・中間証明書をインストールする。
・すべてのコンテンツをhttps (SSL)で表示させる。
https (SSL)のコンテンツと、httpのコンテンツが1つのウェブペ 注意:フルパス(絶対パス)の場合は、必ずhttpsと記述する。ウェブ
ージに混合しているため。
コンテンツに直接記載されているリンク先がhttpのものをhttps
に変更する。
・ウェブサーバにインストールされているSSL サーバ証明書の有
効期限が切れている。
・インストールしたSSLサーバ証明書の有効期間を確認する。
・中間CA証明書がサーバにインストールされていない。
・中間CA証明書をインストールする。
・SSLサーバ証明書のコモンネームとURLの接続先が一致して
いない。
・CSRで指定したコモンネームを確認する。
注意:一部携帯端末では、
コモンネームの 大文字・小文字の一致ま
でを確認している場合があります。
多くのエラーは、
インストール時の作業や設定方法を見直すことで解決することができます。作業前後に、内容の漏れがないか確かめて、検証
時のエラー発生数を削減しましょう!
13
White Paper : サーバ管理者必見!失敗しない SSL サーバ証明書導入のキホン
【付録 5】ルート CA 証明書の確認方法
2. [ コンテンツ ] タブの、[ 証明書 ] ボタンをクリックする。
「証明書」ウィンドウが表示されます。
ルート CA 証明書の確認
証明書の最上位に位置するルート CA 証明書は、ブラウザベンダ
独自の基準で選定され、出荷時にインストールされています。 PC ブラウザで、現在搭載されているルート CA 証明書を確認す
るには、ブラウザのツール、オプションからアクセスすることがで
きます。
*その他クライアントの搭載状況についてはメーカもしくは販売元にお問い合わ
せください。
Internet Explorer の場合
1. [ コントロールパネル ] → [ インターネットオプション ]
を開く。
「インターネットオプション」ウィンドウが表示されます。
3. 内
容を確認したい電子証明書を選択し、[ 表示 ] ボタンを
クリックする。
Copyright © Symantec Corporation. All rights reserved.
シマンテック
(Symantec)
、
ノートン
(Norton)
、
およびチェックマークロゴ
(the Checkmark Logo)
は米国シマンテック・コーポ
レーション
(Symantec Corporation)
またはその関連会社の米国またはその他の国における登録商標、
または、
商標です。
その他の名称もそれぞれの所有者による商標である可能性があります。
製品の仕様と価格は、
都合により予告なしに変更することがあります。本カタログの記載内容は、
2015年4月現在のものです。
14
WPSSLKIHON2010_1504
合同会社シマンテック・ウェブサイトセキュリティ
https://www.jp.websecurity.symantec.com/
〒104-0028 東京都港区赤坂1-11-44赤坂インターシティ
Tel : 0120-707-637
E-mail : [email protected]