よくあるご質問

全般

AffirmTrustの証明書に対応しているブラウザを教えてください。
ドメイン認証(DV)、企業認証(OV)、EV認証の違いは何ですか?

AffirmTrustのルート証明書をインストールする必要がありますか?
信頼できるサーバーにアクセスしていることを知る方法はありますか?
128ビットまたは256ビットの安全なウェブセッションの利用方法を教えてください。
証明書としてSHA-1またはSHA-2を使う必要がありますか?
ワイルドカード証明書とは何ですか?
AffirmTrustの証明書の有効期間を教えてください。

証明書署名要求(CSR)

証明書署名要求(CSR)の作成方法を教えてください。
1024ビットのキーの長さでCSRを利用できますか?
「CSRは解読できないか無効です」というメッセージが表示されます。どのようにしたらよいですか?
弱いRSA秘密鍵とは何ですか?

設定

SSL証明書のインストール方法を教えてください。
必要な中間証明書はどこでダウンロードできますか?
AffirmTrustの証明書と互換性のあるウェブサーバーを教えてください。
AffirmTrustのルート証明書をインストールする必要がありますか?
AffirmTrustのチェーン証明書は必要ですか?
ロードバランシング環境では、AffirmTrustの証明書がいくつ必要ですか?
1つのSSL証明書でいくつのサーバを保護できますか?
「www.」サブドメインの有無にかかわらず、最上位ドメインを保護できますか?
IISでAffirmTrustの証明書を更新する方法を教えてください。

サブジェクトの別名(SAN)とは何ですか?
サーバを移動しました。同じAffirmTrustの証明書を使用できますか?

AffirmTrustのSSLの問題のトラブルシューティング

SSL証明書用の秘密鍵を紛失しました。
証明書が発行された後に共通名を変更できますか?
SSL証明書が正しくインストールされたかテストできますか?
httpsでページをエラーなく読み込んだが、鍵マークが表示されません。
ページに安全なアイテムと安全でないアイテムが両方含まれているという警告が表示されます。どのようにしたらよいですか?
「セキュリティ証明書の名前は無効であるか、またはサイトの名前と合致しません」というメッセージが表示されます。どのようにしたらよいですか?

EV認証証明書

EV SSL証明書とは何ですか?
非EV SSL証明書でも、オンライン取引を保護するのに十分ですか?
AffirmTrustのEV証明書はどのようにして消費者の信頼を高めているのですか?
AffirmTrust EV証明書に切り替えるべきですか?
CA/Browser Forumとは何ですか?
EV証明書の検証プロセスとは何ですか?
AffirmTrust EV証明書では緑のアドレスバーが表示されますか?
証明書が無効なウェブサイトを閲覧すると、ブラウザはどのように反応しますか?
EV証明書を無料で再発行してもらえますか?
どのような組織がAffirmTrustのEV証明書を購入できますか?
EV認証 SSL証明書の認証要件は何ですか?

全般

AffirmTrustの証明書に対応しているブラウザを教えてください。

AffirmTrust SSL ルート証明書はほとんどの主要ブラウザに埋め込まれています。このことは、AffirmTrust SSLの発行するSSL証明書がブラウザによって99%を超える確率で自動的かつトランスペアレントに信頼され、最大限のエンドユーザセキュリティと有用性を提供することを意味します。

トップに戻る

ドメイン認証(DV)、企業認証(OV)、EV認証の違いは何ですか?

ドメイン認証 (DV) SSL

CAは、メールを通じて申請者が特定のドメイン名を使用する権限のみを確認します。企業情報は確認されないため、企業情報が証明書内に表示されることはありません。この場合、確かに発行時間は短い(通常数分)のですが、これは非常に価値の低い証明書であり、業界でも多く議論される問題となっています。CA/Browser Forumのメンバーの中には、この種のSSL証明書はセキュリティに対する間違った考えを提供するため、認めるべきではないと考える人たちもいます。

トップに戻る

企業認証 (OV) SSL

信頼されるSSL証明書を発行する前に、基本的なレベルの企業の検査を提供します。CAは、申請者が特定のドメイン名を使用する権利があるか確認し、また企業の存在そのものを確認します。検証された企業情報は、証明書の詳細を見る時にお客様に対して表示され、お客様はサイトを運営する企業についてより明確に認識することができます。DV証明書より飛躍的に安全度は高まりますが、企業の検証を行うプロセスのため、OV証明書の発行には通常何日かかかります。

トップに戻る

EV認証 SSL

いかなるSSL証明書と比べても最も厳しい認証基準により、最高水準の信頼をユーザに提供します。EV認証ガイドラインとは、独立した組織により策定されたもので、発行元のCAでは、登録されている企業および企業の連絡先を証明する複数の情報の取得が必要です。EV証明書により、消費者は、視覚的な識別により正しいウェブサイトにいることを簡単に理解できます。たとえば、一目でわかる、ブラウザに表示される緑色のアドレスバーなどです。EV認証の検証ガイドラインについては、CA/Browser ForumでEV認証 SSL証明書検証プロセスの概要のトピックを参照してください。

トップに戻る

ブラウザにAffirmTrustのルート証明書をインストールする必要がありますか?

証明書チェーンを適切にウェブサーバに一度インストールすれば、AffirmTrustは今日使用されている99%を超えるブラウザで信用を受けることができます。ほとんどのユーザのPCには、AffirmTrustルート証明書がインストールされることになります。しかし、まだインストールされていないユーザの場合、AffirmTrustの証明書で保護されているサイトを閲覧する際、ブラウザはAffirmTrustが発行した証明書を信用するかどうか尋ねてきます。はいと答えれば、AffirmTrustルート証明書を自動的にインストールします。いいえと答えても、安全なセッション内で閲覧する選択ができますが、そのサイトを次回閲覧する時にも再び同じ質問を受けます。

トップに戻る

信頼できるサーバーにアクセスしていることを知る方法はありますか?

AffirmTrustの証明書でセキュリティ保護されているサーバにアクセスすると、画面一番下か一番上、またはブラウザのアドレスバー内に鍵マークが表示されます。鍵マークをクリックすると、サーバのSSL証明書の詳細が表示されます。サーバがAffirmTrustのEV証明書で保護されていると、Internet Explorer、Firefox、Opera、Chrome、およびSafariなど、EV基準をサポートするすべてのブラウザでブラウザのアドレスバーが緑色に変わります。

トップに戻る

128ビットまたは256ビットの安全なウェブセッションの利用方法を教えてください。

AffirmTrustの証明書を使用して作られたセキュア・ソケット・レイヤー(SSL)セッションの強さは、ユーザのブラウザと貴社のウェブサーバ方針の強さと関係しています。ブラウザが128ビットの暗号化に対応している場合、ウェブサーバ内で128ビットのセッションが構築されます。同じことは256ビット暗号化にも言えます。

ブラウザが40ビット暗号化にしか対応していない場合、ウェブサーバが128または256ビットセッションをサポートしていたとしても、40ビットのセッションのみが構築されます。ブラウザが40ビットの暗号化にしか対応していない場合、AffirmTrustは対応する最新のバージョンのブラウザにアップグレードすることを推奨します。

トップに戻る

証明書としてSHA-1またはSHA-2を使う必要がありますか?

SHA-2証明書のみを発注できます。SHA-2はSHA-1に比べてより新しく強固な暗号アルゴリズムです。SHA-2証明書は、現在使用されているブラウザ、オペレーティングシステム、メールソフト、およびモバイルデバイスのほとんどに対応しています。

トップに戻る

ワイルドカード証明書とは何ですか?

ワイルドカード証明書を利用すると、1つのSSL証明書だけで、1つのウェブサイトのドメインに加えサブドメイン(数の制限なし)を保護できます。たとえば、1つのワイルドカード証明書で、www.example.comとdeals.example.comの両方を保護できます。

ワイルドカード証明書を利用することで、証明書のリクエストを提出した時に指定したレベルで、すべてのサブドメインを保護できます。ワイルドカードを使用したいコモンネーム(CN)のサブドメインの一部にアスタリスク(*)を加えます。

例:

*.example.comと指定した場合、www.example.com、deals.example.com、info.example.comなどを保護できます。

*.www.example.comと指定した場合、mail.www.example.com、deals.www.example.com、info.www.example.comなどを保護できます。

注:ワイルドカード証明書は指定したサブドメインのレベルでのみ保護できます。So, if a certificate is configured for*.www.example.com, it will not secure www.example.com.

ワイルドカード証明書により通常のSSL証明書と同様にウェブサイトを保護でき、リクエストは同じ認証方法を使用して処理されます。しかし、ワイルドカード証明書上のそれぞれのサブドメインに対して固有のIPアドレスを要求するウェブサーバもあります。

注:EV認証証明書はワイルドカードに対応していません。サブジェクトの別名(SAN)を使用することで、複数の完全修飾ドメイン名およびサブドメイン名を1枚のSSL証明書で保護することができるようになります。

トップに戻る

AffirmTrustの証明書の有効期間を教えてください。

AffirmTrustアカウントで、OVおよびEV SSL証明書を1年または2年の有効期限で発行できます。

トップに戻る

証明書署名要求(CSR)

証明書署名要求(CSR)の作成方法を教えてください。

証明書署名要求(CSR)の作成

SSL証明書のリクエストを送る前に、安全を確保したいサーバ上で証明書署名要求(CSR)をご作成いただく必要があります。

詳細

CSRは、暗号化された、ドメイン名などの貴社に関する情報を含むファイルです。

CSRには以下の情報が必須です。

  • 国: 2文字のISO 3166国コード。例: 日本のコードは「JP」です。他の国については、ISO国コードリストまたはこちらをご覧ください。
  • 都道府県(S): 貴社が本部を置いている州または県のフルネーム。 例: 「Tokyo」
  • 市区町村(L): 貴社が本部を置いている地方または市のフルネーム。 例: 「Shinagawa-ku」。
  • 組織(O): 貴社の登記名(略称は不可です)。
  • コモンネーム:SSL証明書で保護するウェブサイト。

注:証明書リクエストにIPアドレス(たとえば198.30.21.143)が含まれている場合、証明書は発行できません。The certificate request may contain a fully qualified domain name (www.example.com), second-level domain (example.com), or a wildcard domain (*.example.com). すべてのドメイン名は公的に登録する必要があります。公的に登録されていないドメインは、内部サーバ名(ISN)と見なされます。CA/Browser Forumの要件により、ISNを含む証明書のためのサポートは将来保証されません。ISNを含む証明書はOVレベルに限定されており、2015年 11月 01日に失効する予定です。さらに、ISNを含む証明書は手作業で検証する必要があり、発行が遅れることがあります。

注: CSRでは空白フィールドは使用しないでください。証明書にフィールドが含まれるのを希望しない場合、このフィールドをCSRに含めないでください。AffirmTrust does not currently support the use of "Organizational Unit" fields in CSRs. 「組織単位(OU)」フィールドを含めると、無視されます。

CSRを作成するのに使用するプロセスは、保護しようとするサーバによって異なります。

Microsoftサーバ向けには、右のリンクから文書をダウンロードしてください。Microsoft向けCSRの作成

Apacheサーバ向けには、右のリンクから文書をダウンロードしてください。Apache向けCSRの作成

他のサーバ向けには、右のリンクから文書をダウンロードしてください。他のサーバ向けCSRの作成

  • C2Net Stronghold
  • Cisco Adaptive Security Appliance (ASA) 5500
  • Cobalt RaQ4/XTR
  • F5 BIG IP(バージョン 9)
  • F5 BIG IP(プレバージョン 9)
  • F5 FirePass VPS
  • HSphere Web Server
  • IBM HTTP Server
  • Java Webサーバ(汎用)
  • Lotus Domino 8.5
  • Mirapoint
  • Nginx
  • Oracle Wallet Manager
  • Oracle WebLogic Server 8 または 9
  • Plesk 10
  • Plesk 9
  • Plesk 8
  • SAP Web Application Server 6.10 以上
  • Zeus Web ServerPremium

トップに戻る

1024ビットのキーの長さでCSRを利用できますか?

いいえ。米国国立標準技術研究所(NIST)からの推奨、および、Microsoftルート証明書プログラムの必須要件によれば、2011年 1月 01日以降に発行された証明書は、キーの長さは2048ビット以上である必要があります。これらの推奨に完全に従うために、AffirmTrustのすべての証明書では、2048ビット以上のキーの長さが必須となります。

トップに戻る

「CSRは解読できないか無効です」というメッセージが表示されます。どのようにしたらよいですか?

CSRには以下のどのフィールドも含めることができますが、「(必須)」のマークがついたフィールドは、CSRが正常に処理されるために必要となります。Microsoft Windows IISでは、CSRにEメールアドレスを含めることは許容されない点にご注意ください。

  • 組織(O)(必須)
  • 市区町村(L)(必須)
  • 都道府県(S)(必須)
  • 国(2文字コード)(必須)
  • コモンネーム(必須)
  • Eメールアドレス

他の可能性として、CSRに使用不可の文字がフィールドのいずれかに含まれていることがあります。フィールドには英数文字のみ使用できますが、コモンネームとEメールアドレスフィールドには「@」および「.」を使用できます。

注:以下のように、CSRの開始と末尾は、必ず5個のハイフンとしてください。

-----BEGIN NEW CERTIFICATE REQUEST-----

-----END NEW CERTIFICATE REQUEST-----

 

SSL証明書を更新する場合、新しいCSRを作成する必要があります。以前のCSRをそのまま使用することはできません。これは、このプロセスがうまく機能するためには、新しい未承認リクエストと秘密鍵がウェブサーバ上に作成される必要があるからです。

IISを使用して更新する場合、IIS上で「証明書を更新する」オプションは使用できず、新しいCSRを作る必要があります。

トップに戻る

弱いRSA秘密鍵とは何ですか?

2006年から2008年の期間、Debian OpenSSLライブラリにはバグがあり、その結果SSL証明書と他の使用のために弱い予測可能なキーを作成されるという問題が発生しました。このバグにより、弱いキーを使用する暗号化されたリンクで送信される他のキーとパスワードでも、脆弱化が発生しています。

CSRをAffirmTrustコンソールに貼り付けてSSL証明書をリクエストする場合、コンソールはCSRがDebianの弱いキーを含んでいるかどうかをチェックします。CSRが弱いキーを含む場合、OpenSSLパッケージの新しいバージョンへとアップグレードして新しいCSRを作成する必要があります。

トップに戻る

設定

SSL証明書のインストール方法を教えてください。

CSRを送信してSSLサーバー証明書と中間証明書を受け取ったら、サーバーにインストールする必要があります。

Your AffirmTrust end-entity certificate must be installed with other intermediate certificates in the trust chain in order to be trusted (display the padlock or green bar) in the major browsers and applications. AffirmTrust証明書はAffirmTrustコマーシャルルートから発行されます。サーバにインストールする必要があるルートおよび中間CA証明書には、どの種別の証明書を使用するかによって、以下のように異なります。

  • AffirmTrust Extended Validation CA – EV1
  • AffirmTrust Certificate Authority – OV1

Microsoftサーバでは、右のリンクから文書をダウンロードしてください。Microsoft向け証明書のインストール

Apacheサーバでは、右のリンクから文書をダウンロードしてください。Apache向け証明書のインストール

他のサーバでは、右のリンクから文書をダウンロードしてください。他のサーバ向け証明書のインストール

この文書には、以下のサーバ上で証明書をインストールする方法の説明が含まれています。

  • C2Net Stronghold
  • Cisco Adaptive Security Appliance (ASA) 5500
  • Cobalt RaQ4/XTR
  • F5 BIG IP(バージョン 9)
  • F5 BIG IP(プレバージョン 9)
  • F5 FirePass VPS
  • HSphere Web Server
  • IBM HTTP Server
  • Java Webサーバ(汎用)
  • Lotus Domino 8.5
  • Mirapoint
  • Nginx
  • Oracle Wallet Manager
  • Oracle WebLogic Server 8 または 9
  • Plesk 10
  • Plesk 9
  • Plesk 8
  • SAP Web Application Server 6.10 以上
  • Zeus Web Server Premium

トップに戻る

必要な中間証明書はどこでダウンロードできますか?

必要な中間証明書は2か所で入手できます。

中間証明書は、サーバ証明書をダウンロードしたカスタマーポータルの同じページでダウンロードできます。

中間証明書

画面下のリンクから、必要な中間証明書をダウンロードできます。ここでダウンロードできるものには、以下2つのバンドルが含まれます。

ALL-CERTIFICATES.ZIP

CERTIFICATE AUTHORITY BUNDLE

ALL-CERTIFICATES.ZIPファイルには以下の証明書が含まれています(サーバ証明書と2つのCA証明書)。

  • Affirmtrust_Commercial.crt
  • AffirmTrust Certificate Authority – OV1.crt
    または
    AffirmTrust Extended Validation CA – EV1.crtのいずれか
  • your.server.name.crt

CERTIFICATE AUTHORITY BUNDLEには、2つのCA証明書が1つの .crt ファイルに入っています。これはApache opensslサーバで使用するよう設計されています。このファイルをダウンロードでき、Apache opensslサーバのコンフィギュレーションラインであるSSLCertificateChainFile内で直接使用できます。

  • Affirmtrust_Commercial.crt
  • AffirmTrust Certificate Authority – OV1.crt
    または
    AffirmTrust Extended Validation CA – EV1.crtのいずれか

注:SSL証明書のバックアップコピーを作成し、別の場所で保管してください。

トップに戻る

AffirmTrustの証明書と互換性のあるウェブサーバーを教えてください。

AffirmTrustの証明書はx.509 v3スタンダードと互換性のあるサーバならどれに対しても発行でき、証明書リクエストはPKCS#10書式で作成できます。これには以下のような最新のサーバが含まれます。

  • Microsoft Internet Information Server (IIS) v3 以上
  • Microsoft Communications Server
  • Apache
  • Nginx
  • Netscape Enterprise Server v3 以上
  • Netscape Commerce Server v1 以上
  • Netscape FastTrack Server
  • Stronghold Server
  • Internet Application Server 1.0
  • Netscape iPlanet Web Server 4.1

ApacheおよびNginx Serversには、Open SSLが必要です。

トップに戻る

サーバにAffirmTrustルート証明書をインストールする必要がありますか?

通常、SSL証明書をインストールする場合、中間CA証明書もインストールする必要がありますが、ルート証明書は不要です。貴社のサーバベンダーがルート証明書をインストールするよう指定しない限り、ウェブサーバにインストールするべきではありません。

必要な証明書はすべてAffirmTrustコンソールからダウンロードできます。証明書のコモンネームをクリックして、表示される詳細ページでDownload(ダウンロード)をクリックしてください。

トップに戻る

AffirmTrustのチェーン証明書は必要ですか?

はい。

トップに戻る

ロードバランシング環境では、AffirmTrustの証明書がいくつ必要ですか?

安全なウェブサーバのそれぞれに1つずつ、AffirmTrustの証明書が必要です(仮想ウェブサーバをすべて含みます)。証明書アカウントがあれば、このサポートには追加の費用は発生しません。

トップに戻る

1つのSSL証明書でいくつのサーバを保護できますか?

AffirmTrust証明書には、標準価格でサーバ数上限なしのライセンスが含まれています。これにより、プライマリサーバ、セカンダリあるいはバックアップサーバ、およびロードバランサーを容易に保護することができます。

証明書をウェブサーバー間で移動するには、CSRを作成したウェブサーバー上に証明書をインストールする必要があり、それからSSL証明書とその秘密鍵をPFXまたはPKCS12ファイルにエクスポートします。それから、そのファイルを別のウェブサーバにインポートできます。

トップに戻る

「www.」サブドメインの有無にかかわらず、最上位ドメインを保護できますか?

はい。AffirmTrust証明書は、www.example.comを保護するためにSSL証明書を購入した場合、example.comも保護します。

トップに戻る

IISでAffirmTrustの証明書を更新する方法を教えてください。

IIS7

  1. 新しいCSRを作成します。
  2. 未承認のリクエストを完了します。
  3. 「Default Web Site(デフォルトウェブサイト)」に進み、EDIT Bindings(バインディングの編集)を右クリックします。ADD(追加)をクリックして、新しい証明書をドロップダウンリストから選択します。

トップに戻る

IIS5または IIS 6

このプロセスにより、期限切れとなるIIS上のSSL証明書を、ウェブサイトでダウンタイムを発生させることなく更新できます。以下のステップに従うことで、ウェブサイトのアップタイムと全体的なセキュリティを最大化できます。

  1. Windowsサーバ上で、インターネット インフォメーション サービス(IIS)マネージャーを開きます。Start(スタート)をクリック > Programs(プログラム)  > Administrative Tools(管理ツール)  > Internet Information Services Manager(インターネット インフォメーション サービス マネージャー)
  2. IIS内に一時的サイトを作成します。メインサーバノード(ローカルコンピューター)を右クリックし、New(新規)Web Site(ウェブサイト)をクリックします。ご希望の名前をつけることができます(たとえば、temporarysite)。一時的サイトは後で削除できますので、設定の詳細は重要ではありません。
  3. ダミーサイト用に証明書署名要求(CSR)を作成します。新しいCSR内のコモンネーム(例:www.example.com))は貴社の実サイトと同じである必要があります。たとえば、更新しようとしている証明書がsecure.example.com用であれば、ダミーサイト用のCSR内のコモンネームもsecure.example.comである必要があります。CSRを作成するには、以下の記事を参照してください。証明書署名要求の作成
  4. AffirmTrust SSLポータルでは、証明書を再発行するために作成したCSRを使用してください。
  5. AffirmTrustはSSL証明書を発行し、Eメールでお届けします。メモ帳などのテキストエディターに証明書をコピーして、デスクトップにyourdomain.cerとして保存してください。
  6. 一時的サイトのディレクトリセキュリティタブに戻り、サーバ証明書を選択します。次にProcess the pending request and install the certificate(未承認のリクエストを処理し証明書をインストールする)を選択し、Next(次へ)をクリックします。
  7. ウェブサーバ証明書を指定するようプロンプトが表示されたら、yourdomain.cerファイルを指定し、Next(次へ)をクリックします。
  8. サマリー画面で、有効期限データをチェックして正しい証明書を処理していることを確認してから、Next(次へ)をクリックします。
  9. 確認画面で、Next(次へ)をクリックしてFinish(完了)をクリックします。これで、SSL証明書が一時的サイトにインストールされました。次に、これを実サイトに移動します。
  10. 実ウェブサイトを右クリックして、Properties(プロパティ)をクリックします。
  11. Directory Security(ディレクトリセキュリティ)で、Secure communications(コミュニケーションの保護)の下にあるServer Certificate(サーバ証明書)をクリックします。
  12. Welcome to the Web Server Certificate Wizard(ウェブサーバ証明書ウィザードへようこそ)のウインドウで、Next(次へ)をクリックします。
  13. Replace the current certificate(現在の証明書を取り換える)を選択してNext(次へ)をクリックします。
  14. インストールした証明書のリストからSSL証明書を選択するよう求められます。リストから新しい証明書を間違いのないように選択してください。
  15. サマリー画面で、有効期限データをチェックして正しい証明書を処理していることを確認します。Next(次へ)をクリックします。
  16. 確認画面で、Next(次へ)をクリックしてFinish(完了)をクリックします。これで、古いSSL証明書が一時的サイトからの新しい証明書と置き換えられました。一時的サイトはすべて削除して構いません。

トップに戻る

サブジェクトの別名(SAN)とは何ですか?

サブジェクトの別名(SAN)を利用することにより、複数のホスト名を1つのSSL証明書で保護することができます。

SANによる拡張はX509証明書に10年以上標準で含まれていますが、サーバのコンフィギュレーションの簡素化にSANを使用するMicrosoft Exchange Server 2007の販売開始後、広く使用されるようになりました。

SANを証明書に追加する利点としては、以下のようなものが考えられます。

  • 1つのSSL証明書を使用して、異なるベースドメインのホスト名を保護することができます。*.example.comのようなワイルドカード証明書は、1つのドメイン上の最初のレベルのサブドメインをすべて保護できますが、www.example.comおよびexample.netの両方を保護することはできません。
  • 複数のSSLが使用可能なサイトを単一のサーバでホストする場合は、通常それぞれのサイトに個別のIPアドレスが必要ですが、SANによる証明書はこの問題を解決できます。Microsoft IIS 6とApacheのいずれも、SAN証明書とも呼ばれるUnified Communications SSLを使用してHTTPSサイトを仮想ホストにできます。
  • SAN証明書により、Exchange Server 2007 SSLのコンフィギュレーションを簡素化できます。SAN証明書を使用すれば、複数のIPアドレスをExchange 2007サーバ上に構成する必要はありません。

トップに戻る

サーバを移動しました。同じAffirmTrustの証明書を使用できますか?

ドメイン名が変わらない限り、同じものを使用できます。SSL証明書を古いウェブサーバからエクスポートし、新しいウェブサーバにインポートしてください。証明書と関連する秘密鍵の両方をエクスポートし、それからインポートする必要があります。また、エクスポートとインポートの方法は使用しているウェブサーバソフトウェアの種類により異なります。

トップに戻る

AffirmTrustのSSLの問題のトラブルシューティング

SSL証明書用の秘密鍵を紛失しました。

AffirmTrust SSL証明書は貴社ポータルの有効期間中、必要なだけ何度でも再発行できます。

秘密鍵を紛失した場合、以下のどちらかを行うことができます。

  • 新しい証明書を発行する
  • 新しい証明書署名要求(CSR)を作成する。この場合、AffirmTrust SSLポータルへログインして、証明書タブへ進み、証明書の注文番号をクリックして、再発行をクリックします。CSRをそのページのテキストボックスに貼り付け、続行をクリックします。

トップに戻る

証明書が発行された後に共通名を変更できますか?

ウェブサイトの名前は、証明書の「Issued to(発行先)」フィールドに記載されます。この名前は、アドレスバー内に表示されるものと一致する必要があります。証明書の「コモンネーム」は証明書を無効化しない限り変更できません。唯一の方策は、新しい証明書署名要求(CSR)を作成することです。そして、正しい共通名を指定し、新しい証明書を注文します。

「ページが表示できません」エラー

考えられる原因と解決策は以下のとおりです。

  • ファイアウォールまたはルーターが安全なポート(通常ポート443)をブロックしている:ポート443が開いていることを確認し、トラフィックが通るようにします。
  • ポート443がウェブサーバによりSSLに割り当てられている:Microsoft IISでは、サイトのウェブサイトタブのSSLポートに443を入力する必要があります。Apacheでは、ウェブサイトに関連するvirtual host(仮想ホスト)セクションで「:443」と指定する必要があります。
  • 秘密鍵モジュールが公開鍵モジュールと合致しない:サポートが必要な鍵ファイルと証明書ファイルをEメールで送信していただきましたら、モジュールが合致するかどうか判断するために、当社にてチェックいたします。合致しない場合、秘密鍵の取り違えがあるか、秘密鍵が削除されている可能性があります。秘密鍵を見つけることができない場合、初めから新しい秘密鍵とCSRを作成し、証明書の再発行をリクエストする必要があります。
  • ウェブサーバが適切に構成されていない:ウェブサイトに割り当てられた独自のIPアドレスがあるはずです。IISでは、IPアドレスはサイトのwebsite(ウェブサイト)タブのIP address(IPアドレス)フィールドに詳細があり、Advanced(詳細)セクションで指定されているはずです(SSLポートエントリの隣のAdvanced (詳細)をクリックします)。All Unassigned(すべて割り当てられていない)と表示されている場合は、それを削除してIPアドレスを加えます。IISでホストヘッダーは使用できません。Unixベースのウェブサーバ(Apache、PleskやEnsimのようなコントロールパネル)はIPベースのモードである必要があり、名前ベースのモードであってはいけません。固有のIPアドレスをサイトの仮想ホストセクションで指定する必要があります。
  • 1つの証明書につき複数のIPが指定されている:この場合不一致が生じます。
  • DNSの問題:サイトには内部または外部IPアドレスのどちらかがあります。どちらを使用しているか確認してください。IPアドレスは何らかの形でドメイン名に関連づけられている必要があります。
  • サイトにIPアドレスを介してアクセスできますか?:ドメイン名を最近購入した場合、DNSレコードのプロパゲーションを行う必要があります(24~72時間)。内部IPアドレスが使用されている場合、ウェブサイトが外部に公開されるには、ネットワークアドレストランスレーター(NAT)、ファイアウォール、またはルーターにより、内部IPアドレスを外部IPアドレスに関連付ける必要があります。
  • ウェブサーバーによっては、物理的なリブートが必要な場合もあります。: このオプションはできる限り選択しないようにしてください。ホスティングを行う企業のサービスレベルを途絶させる可能性があるからです。

トップに戻る

SSL証明書が正しくインストールされたかテストできますか?

新しいSSL証明書をテストするには、ブラウザを開き、以下のような、https://から始まる貴社サーバーの完全修飾ドメイン名を入力します。

https://www.example.com

ファイアウォールでポート443が開いていることを常に確認してください。

トップに戻る

httpsでページをエラーなく読み込んだが、鍵マークが表示されません。

この問題は、SSLリンクがページのセクションにあるベースコマンドにより切断されたことが原因と推定されます。HTMLを表示して、ページの一番上のセクションに以下のようなラインがあるかどうかをチェックしてください。

< BASE href="http://www.example.com" >

このラインはすべての関連するリンクをhttpに戻してしまいます。このため、SSLセッションは確立されず、鍵マークは表示されません。< BASE href="http://www.example.com ">コードをページから削除して、そしてこれ以外にファイル参照がないことを、ページのhttp://を使用して確認してください。

または、ページの一番上のセクションのラインを以下のように変更することでも問題を解決できます。

< BASE href="https://www.example.com " >

これにより相対的なリンクはすべてhttpsモ―ドに設定され、鍵マークが表示されます

トップに戻る

ページに安全なアイテムと安全でないアイテムが両方含まれているという警告が表示されます。どのようにしたらよいですか?

この問題は、SSLモードで、httpsではなくhttpでコンテンツを読み込むようにウェブサーバに強制している場合に起こる可能性があります。HTMLコードをチェックして、src=http://www. example.com/directory/file.gifで始まるファイルや画像への参照がないことを確認してください。

このような参照がある場合は、src=/directory/file.gifのように相対参照であるか、src=https://www.example.com/directory/file.gifのように、httpsを使用した絶対参照でなければなりません。

トップに戻る

「セキュリティ証明書の名前は無効であるか、またはサイトの名前と合致しません」というメッセージが表示されます。どのようにしたらよいですか?

セキュリティアラート

このエラーは、発行されたものと異なる完全修飾ドメイン名(FQDN)で証明書が使用された時に発生します。たとえば、証明書がwww. example.comに発行され、secure. example.comで使用する場合、名前のミスマッチエラーが起きます。

中間証明書をインストールしておらずサーバをリブートしていない場合にも、このセキュリティアラートが表示されることがあります。

トップに戻る

EV認証証明書

EV SSL証明書とは何ですか?

EV SSL証明書は、どのSSL証明書よりも厳しい認証基準を満たしており、最高レベルの消費者の信頼を提供します。EV認証ガイドラインは、独立した組織により策定され、発行元のCAでは、登録されている企業および企業の連絡先を証明する複数の情報の取得が必要です。EV証明書を使用することで、消費者は正しいウェブサイトを閲覧していることを、一目でわかる緑色のアドレスバーなどの形で視覚的かつ容易に理解できます。EV認証の検証ガイドラインについては、CA/Browser Forumのトピック、EV認証SSL証明書検証プロセスの概要を参照してください

トップに戻る

非EV SSL証明書でも、オンライン取引を保護するのに十分ですか?

暗号化セキュリティの観点からは、確かに暗号化SSLセッションにおいて非EV SSL証明書が使用されるという現状が続いています。しかし、オンライン取引の最大の脅威は、本質的に暗号化に関するものではありません。今日、最大の脅威とはフィッシング詐欺攻撃でユーザを引き付ける詐欺ウェブサイトです。フィッシング詐欺はソーシャルエンジニアリングを使用し、ユーザが信頼できるサイトと偽物サイトを区別することができないことを利用します。

EVが推奨されているのは、有効なサイトを閲覧しているかどうかを、ユーザがより容易に識別できるようにする必要性を、業界が認識した結果です。ユーザがより新しいブラウザを使用するようになり、取引を行う際EV SSL証明書による強力な信頼性を期待するようになってきた結果、非EVの証明書は、使いやすさの観点からは有用性が低下しています。

トップに戻る

AffirmTrustのEV証明書はどのようにして消費者の信頼を高めているのですか?

オンライン詐欺が増加しフィッシング詐欺が頻繁に発生するようになり、消費者はID窃盗を懸念しています。そして、取引をオンラインで行う際使用するウェブサイトに対して、ますます高い信頼性を求めています。ウェブサイトが信頼性の低いものであり、個人情報が守られていないと消費者が感じた場合、そのウェブサイトを離れ別のベンダーへと移行する可能性があります。

AffirmTrustのEV証明書は、ユーザがオンライン取引を行う時に、分かりやすく一貫した信頼の指標を表示することで、ユーザからの信頼を高めるのに役立ちます。ウェブサイトにAffirmTrust EV証明書をインストールすると、以下の効果があります。

  • ブラウザのアドレスバーに鍵のマークが表示されます。
  • アドレスバーが緑色になり、サイトのIDを表示します。
  • 鍵のマークをクリックすると、サーバのSSL証明書に関する情報が表示されます。

トップに戻る

AffirmTrust EV証明書に切り替えるべきですか?

Eコマース取引を実行するウェブサイトを運営されている場合、あるいはサイトで機密または個人的な情報を収集している場合、AffirmTrust EV証明書へ切り替えのご検討をお勧めします。

トップに戻る

CA/Browser Forumとは何ですか?

CA/Browser Forumとは、認証局サービスプロバイダー、ウェブブラウザベンダー、およびその他の業界関係者のグループで、フィッシング詐欺や他のインターネット攻撃の脅威を減らし、利便性を向上させるガイドラインを策定するため活動しています。

AffirmTrustは積極的にこのグループで活動し、その活動を強力にサポートしています。

トップに戻る

EV証明書の検証プロセスとは何ですか?

CA Browser (CAB) Forumガイドラインが定めるように、EVによる検証プロセスは特定の設立法管轄における企業の正当性を確証します。また、厳密かつ適切に定義された認証プロセスを通じて、企業の主な事業地を明確に識別します。このプロセスには、企業のドメイン所有権の認証に加え、購入契約の規定による企業への法的拘束力も含まれています。このため、関連する当事者に恩恵をもたらし、インターネット全体のセキュリティを強化します。

トップに戻る

AffirmTrust EV証明書では緑のアドレスバーが表示されますか?

EV証明書を使用すると、Internet Explorer、Firefox、Opera、ChromeおよびSafariなど、EVの標準に対応しているすべてのブラウザで、アドレスバーが緑色に変わります。

Internet Explorer 7では、アドレスバーが緑色に変わる機能を使用するにはフィッシング詐欺フィルターを有効にする必要があります。

トップに戻る

証明書が無効なウェブサイトを閲覧すると、ブラウザはどのように反応しますか?

ほとんどのブラウザでは、既知のフィッシング詐欺サイトへアクセスしている、または証明書が何らかの理由で有効でない場合、目につきやすい赤色のアドレスバーが表示されます。赤色の警告により、報告されているフィッシング詐欺サイトへのアクセスがただちにブロックされます。ただし、ユーザーが希望する場合はそのサイトにアクセスすることもできます。

Internet Explorerにはユーザーに対する明確な警告があり、ユーザーがそのページを閲覧しないことを推奨します。ユーザーが警告を無視して続行すると、アドレスバーが赤色になり、赤い警告の「セキュリティバッジ」が表示されます。

トップに戻る

EV証明書を無料で再発行してもらえますか?

はい、可能です。すべてAffirmTrustコンソールによって、容易に再発行を行うことができます。

トップに戻る

どのような組織がAffirmTrustのEV証明書を購入できますか?

厳格なガイドラインのとおり、以下のような幅広い範囲の事業法人がEV証明書を購入することができます。

民間企業: 当該の法管轄地域における法人設立当局によって、または法律によって、法人登記された非政府の法人(株式公開の有無にかかわらず)。

政府組織: 政府が運営する法人、機関、部門、省庁、あるいは政府の同様の部門、または国家の中に存在する政治的単位(州、県、市、郡など)。

事業主体: 民間企業でも政府組織でもない主体すべて。例:ジェネラルパートナーシップ(民法上の組合)、法人化されていない団体、および個人事業主など。

既存のSSL証明書をAffirmTrust EV証明書にアップグレードできますか?

はい。いくらかのプロセス(EVガイドラインで義務付けているもの)がさらに必要ですが、貴社はEV証明書をオンラインビジネスに展開でき、エンドユーザーにより大きな信頼感をもたらすことができます。

トップに戻る

EV認証 SSL証明書の認証要件は何ですか?

企業認証要件

以下の事業主体は、現在その法管轄地域における正式な登記機関により登記および承認されている場合、EV証明書を取得することができます。登記に付随する設立趣意書、許可証、免許またはそれらと同等の書類は、登記機関による認証が可能である必要があります。

  • 政府機関
  • 企業
  • ジェネラルパートナーシップ(民法上の組合)
  • 法人化されていない団体
  • 個人事業主

組織の登記要件のすべてを、AffirmTrustが確認できる必要があります。

正式な政府省庁の記録には以下を含む必要があります。

  • 企業の法人番号
  • 企業の登記日/設立日
  • 企業が登記した本社所在地

政府省庁の記録に含まれない場合、政府以外のデータソース(Dun & Bradstreetなど)に企業の事業上の所在地が記録されている必要があります。

企業が登記してから3年未満の場合、AffirmTrustが営業の実在を以下のうちいずれかの手段を通じて確認する必要があります。

  • 政府以外のデータソース(Dun & Bradstreetなど)を通じて
  • 当該企業が、規制を受けている金融機関に有効な要求払い預金口座(当座預金口座など)を有していることを、専門家の意見書または直接金融機関を介して確認することを通じて

トップに戻る

ドメイン認証要件

EV SSL証明書を取得するためには、ドメイン登録の詳細は、証明書のリクエストに記載された企業の正式登記名と一致している必要があります。ドメイン登録が証明書リクエストに記載された企業名と一致しない場合、登録されたドメイン管理者または専門家の意見書による、そのドメイン名を使用する企業の独占的権利の確認が求められます。

  • ドメインはICANNまたはIANAレジストラ(CCTLDの場合)で登録する必要があります。ドメイン登録の詳細は、証明書リクエストの記載と企業名が一致するように更新する必要があります。
  • ドメイン登録が非公開の場合、ドメイン登録者にはプライバシー機能を取り除くことが求められます。
  • 企業の企業連絡先は、企業がドメインの所有権を有していることを認証電話の際に確認する必要があります。

トップに戻る

企業連絡先認証要件

EV SSL証明書を取得するためには、証明書リクエストで識別された企業連絡先は申請企業に在籍している必要があり、EV証明書の責任を担当および委任する適切な権限を有している必要があります。

  • 在籍および権限は、当該企業のウェブサイトを通じて確認することはできません。
  • 証明書リクエストで指定された企業連絡先が、政府の記録に企業の役員(コーポレートセクレタリー、社長、CEO、CFO、COO、CIO、CSO、取締役、またはこれらと同等の役職)として登録されている場合、企業連絡先の在籍および権限は、下記の説明のとおり、この情報を確認することなく承認できます。

以下の企業連絡先要件のすべてを、AffirmTrustが確認できる必要があります。

  • 企業連絡先の身分、地位、および雇用(独立した組織経由での確認が必要)。
  • 企業連絡先には、企業を代表してEV証明書を取得し承認する権限が与えられています。これは以下の方法のいずれかによって認証可能です。
  • 直接、企業のCEO、COO、または同等の重役に直接連絡して、企業連絡先の権限を確認する。CEO、COO、またはその他の重役に関する公的な記録が入手できない場合、AffirmTrustは企業の人事部に連絡先の詳細の確認を求める。
  • 専門家の意見書

トップに戻る

発注認証要件

AffirmTrust SSLは、証明書リクエスト、および証明書リクエストで指定されている企業連絡先を含む、証明書の詳細すべてを認証する必要があります。AffirmTrust SSLは独立して確認された電話番号を使用して、企業連絡先に連絡する必要があります。

この電話番号は以下の方法のいずれかによって取得します。

  • 正規の電話データベースを調査して、電話番号を確認する。当該企業の代表電話番号が公的な電話帳に掲載されていることを確認する。
  • 専門家の意見書によって取得する。
  • AffirmTrust SSLが実施する現場訪問の時に確認する。なお、認証電話の際に、AffirmTrust SSLは以下の4点を企業連絡先に確認:
  • 証明書リクエストに記載されているリクエスト担当者の名前、およびその人物の、企業を代表してEV認証証明書を取得する権限
  • 企業の所有および証明書リクエストに記載されている、ドメインの所有権および使用権の認識
  • EV SSL証明書リクエストの承認
  • EV認証の使用条件を含む、AffirmTrust SSL証明書購入契約書への署名の確認

トップに戻る

追加認証要件

AffirmTrust SSLが証明書申し込みに記載された必要な情報のどれかを確認できない場合、弁護士または会計士から、情報を確認するための専門家の意見書を提出するようお願いすることがあります。

トップに戻る

Powered by Translations.com GlobalLink OneLink Software