Webサーバ証明書インストール手順(Apache+OpenSSL)

証明書ファイルの作成

(1) Webサーバ証明書ファイルをダウンロードします。

お送りした申込専用アクセスキーでログインいただき、 申込一覧よりダウンロード対象のWebサーバ証明書を選んでダウンロードしてください。
ファイル名は任意のものを指定します。(例:web.crt)

(2) 中間認証局証明書ファイルをリポジトリからダウンロードして保存してください。

パブリック証明書をご利用になる場合
リポジトリより中間認証局証明書をダウンロードします。
・2022年5月1日より以降に申請:こちら
・2022年4月28日より以前に申請:こちら

ダウンロードした中間認証局証明書ファイルを任意のファイル名で保存します。(例:chain_ca.crt)

(3) 証明書ファイルを保存します。

【Apache2.4.7以前をご利用の場合】

(1)、(2)で作成した証明書ファイルをWebサーバの任意のディレクトリに保存します。

    ファイル 保存先のディレクトリ(例)
    Webサーバ証明書ファイル /usr/local/ssl/certs/web.crt
    Webサーバの秘密鍵ファイル /usr/local/ssl/private/private.key
    中間認証局証明書ファイル /usr/local/ssl/certs/chain_ca.crt

【Apache2.4.8以降をご利用の場合】

Apache2.4.8以降では中間認証局証明書を指定するSSLCertificateChainFileが非推奨となります。

以下の手順でWebサーバ証明書ファイルと中間認証局証明書ファイルを統合し、1つのファイルにしてください。

※作業前にWebサーバ証明書ファイルのバックアップを取ることをお薦めします。

  1. 中間認証局証明書ファイルをテキストエディタで開き、「—–BEGIN CERTIFICATE—–」から「—–END CERTIFICATE—–」までをコピーします。
  2.  Webサーバ証明書ファイルをテキストエディタで開き、最後尾に、1.でコピーした中間認証局証明書の内容を貼り付け、上書き保存します。
  3. 【例:web.crt】
    —–BEGIN CERTIFICATE—–← Webサーバ証明書
    MIIG7DCCBdSgAwIBAgIQAz1mh4jdNUkQAz3xKtB5GTANBgkqhkiG9w0BAQsFADBp
                        (略)
    Za7zt6VJbfGwJaekjRPw6z4761z3Aa33xHGyYytdEU+XuiMZRtiMFxze5CA0S6Fz
    —–END CERTIFICATE—–
    —–BEGIN CERTIFICATE—–← 中間認証局証明書を貼り付ける
    MIIEqTCCA5GgAwIBAgIJIrmxUe1MoejaMA0GCSqGSIb3DQEBCwUAMF0xCzAJBgNV
                        (略)
    82PfEtv/CSR4a84Nou2SmhrNcdQ/1H2893tObrj9LDPSy1lVvcC1v2gatdmZ
    —–END CERTIFICATE—–
  4. 統合したWebサーバ証明書ファイルを任意のディレクトリに保存します。中間認証局証明書ファイルを保存する必要はありません。
  5. ファイル 保存先のディレクトリ(例)
    中間認証局証明書+
    Webサーバ証明書ファイル
    /usr/local/ssl/certs/web.crt
    Webサーバの秘密鍵ファイル /usr/local/ssl/private/private.key


Apacheの設定

(1) Apacheの設定ファイルを変更します。

Apacheの設定ファイル(httpd.confやhttpd-ssl.confなど)をエディタで開き、次のディレクティブのパラメータを変更します。

※各証明書・鍵ファイルの保存先にあわせて、設定内容を変更してください。

【Apache2.4.7以前をご利用の場合】

設定内容 ディレクティブ パラメータ(例)
Webサーバ証明書ファイル SSLCertificateFile /usr/local/ssl/certs/web.crt
秘密鍵ファイル SSLCertificateKeyFile /usr/local/ssl/certs/private.key
中間認証局証明書ファイル SSLCertificateChainFile /usr/local/ssl/certs/chain_ca.crt

【Apache2.4.8以降をご利用の場合】

設定内容 ディレクティブ パラメータ(例)
中間認証局証明書+
Webサーバ証明書ファイル
SSLCertificateFile /usr/local/ssl/certs/web.crt
秘密鍵ファイル SSLCertificateKeyFile /usr/local/ssl/certs/private.key
SSLCertificateChainFile コメントアウトする

(2) Apacheの設定ファイルが正しいか確認します。

次のコマンドを実行し、Apacheの設定ファイルに誤りがないことを確認します。

【UNIX系OSの場合】

# <Apacheインストールディレクトリ>/bin/httpd -t
Syntax ok

【Windows系OSの場合】

※ Apacheがインストールされているディレクトリに移動
> .\bin\httpd -t
Syntax ok

[Syntax ok]と表示されることを確認してください。

Webサーバの起動

(1) Apacheを起動します。

Apacheが既に起動している場合は、設定ファイルの変更内容を反映するために一旦 Apacheを停止して再起動します。

【UNIX系OSの場合】

# <Apacheインストールディレクトリ>/bin/apachectl stop (Apacheの停止)
# <Apacheインストールディレクトリ>/bin/apachectl start (Apacheの起動)

※Apacheのバージョンによっては、apachectl startssl と実行する必要があります。
※ [Enter pass phrase]と表示されたら、秘密鍵の作成時に設定したパスフレーズを入力してください

【Windows系OSの場合】
「Apache Service Monitor」を起動し、「Stop」ボタンを押してApacheを停止してから「Start」ボタンを押して起動します。

(2) SSL接続の確認を行ないます。

ブラウザを起動し、「https:// 」から開始するURLにアクセスして画面が表示されることをご確認ください。
また、下図のようなブラウザの鍵マークのアイコンをクリックし、証明書ファイルが正常に表示されることをご確認ください。


以上で、証明書のインストールは完了です。

証明書・秘密鍵のバックアップ

[証明書の保存]-[3]でWebサーバ上に配置した証明書・秘密鍵ファイルは、 Webサーバがなんらかの要因により障害となった場合に証明書・秘密鍵を復旧するために必要となりますので、別の媒体にコピーして保存してください。
また、セキュリティ上最も重要な情報が含まれていますので、メールで送付するなど、外部へ流出することがないように充分にご注意ください。

ファイル ファイルの保存ディレクトリ(例)
証明書ファイル /usr/local/ssl/certs/web.crt
秘密鍵ファイル /usr/local/ssl/certs/private.key

↓