はじめに
このドキュメントの目的
本ドキュメントは、JPRS(日本レジストリサービス)が提供するドメイン認証型SSLサーバー証明書について、分かりやすく整理した入門ガイドです。概要、認証方法、設定手順、発行時のトラブル対応、そしてメール認証サービスの改定点を順に解説します。これ一つで導入から運用まで確認できます。
対象読者
ウェブサイトの運用担当者、会社のIT担当者、個人でドメイン管理を行う方を想定しています。専門知識がなくても理解できるよう、専門用語は最小限にし具体例で補足します。
JPRSドメイン認証型SSLとは
JPRSのドメイン認証型SSLは、.jpドメイン向けに提供される証明書で、サイトと利用者間の通信を暗号化します。導入するとブラウザの鍵マーク(鍵や錠のアイコン)が表示され、利用者に安心感を与えます。自動更新機能を備え、手作業の更新ミスを減らせます。たとえば会社のコーポレートサイトや小規模なネットショップ、個人ブログなどに適しています。
本書で得られること
- ドメイン認証の3つの方法の違いと選び方
- 自動更新を使った証明書の設定手順(具体的な操作手順を掲載)
- 発行時によくあるトラブルの原因と対処法
- メール認証サービスの改定点と影響
前提と準備
証明書発行には対象ドメインの管理権限(DNS、サーバー、メールのいずれか)が必要です。後続の章で詳しく説明しますので、まずは管理者アカウント情報とドメイン情報を手元にご用意ください。
JPRSドメイン認証型SSLサーバー証明書の概要
サービスの目的
JPRSドメイン認証型は、.jpドメインの管理を行うJPRSが提供するSSL証明書発行サービスです。ウェブサイトと利用者の間の通信を暗号化し、情報の盗聴や改ざんを防ぎます。例えば、オンラインショップでクレジットカード情報を送る場面でも安全に通信できます。
主な特徴
- ドメイン認証(所有確認)を行うタイプです。手続きはシンプルで短時間で発行できます。
- 自動更新機能を用意しており、更新手続きの負担を軽減できます。
- .jpドメインを扱う唯一の組織が提供するため、国内向けサービスで安心感があります。
自動更新の利点
自動更新を有効にすると、証明書の有効期限が近づいても手動で更新する必要がありません。運用担当者が不在でも切れを防げます。具体例として、サーバー証明書の更新忘れによるサービス停止リスクを下げられます。
利用の流れ(簡単)
- 申し込み・ドメイン所有の確認
- 証明書発行・サーバーへの設定
- 自動更新の設定(任意)
導入時の注意点
サーバー側での設定手順が異なる場合があります。設定前に利用するウェブサーバーのマニュアルを確認してください。必要な権限やファイルの配置場所を把握しておくとスムーズに導入できます。
ドメイン認証の3つの方法
概要
SSLサーバー証明書を発行する前に、ドメインの所有や管理権を確認する「ドメイン認証」が必要です。主にメール認証、ファイル認証、DNS認証の3種類があります。メール認証がもっとも一般的です。なお、2025年6月下旬にWHOISを使ったメール認証が終了し、DNSのTXTレコードを利用した認証へ移行します。
1) メール認証
- 仕組み:ドメインの管理連絡先(WHOISや指定のメールアドレス)へ認証メールを送り、記載のリンクをクリックして承認します。
- 手順例:証明書発行画面で指定アドレスに送信→受信したメールのリンクを開く→承認ボタンを押す。
- 長所:手順が分かりやすく即時対応しやすい。短所:メールアドレスの管理が分散していると届かないことがあります。
- JPRS対応:メール認証に対応します。WHOISベースは終了予定のため、今後はDNS TXT方式などへ移行します。
2) ファイル認証
- 仕組み:認証用ファイルをウェブサーバーの指定パスにアップロードし、認証局がアクセスして確認します。
- 手順例:証明書申請で生成したファイルを/.well-known/acme-challenge/以下に置く→認証局がHTTPで検証。
- 長所:サーバーにアクセスできれば自動化しやすい。短所:サーバー管理権限がないと実行できない。
- JPRS対応:対応していませんが、ほかの認証局では提供する場合があります。
3) DNS認証
- 仕組み:DNSに指定のTXTレコードを追加し、認証局がその値を確認します。
- 手順例:申請で提示されたトークンを TXT レコードとして追加→反映後、認証局が照合。
- 長所:ドメイン管理権が確実にあることを示せる。短所:DNSの反映待ち時間や操作が必要です。
- JPRS対応:対応していません(他の認証局が対応します)。
どれを選ぶか
- 管理者がメールを確実に受け取れるならメール認証が簡単です。WHOISメールは2025年6月下旬で終了予定のため、運用によってはDNS TXT認証への移行準備を検討してください。サーバーにファイルを置ける権限があるならファイル認証が便利です。DNS操作が容易であればDNS認証が確実です。
JPRSドメイン認証型(自動更新)の設定手順
前提準備
- サーバーコントロールパネルにログインしてください。例: example.com の管理者アカウント。
- ドメインがコントロールパネルに登録済みで、DNS設定を編集できることを確認してください。
設定手順
- 左メニューから「ドメイン/SSL」を選び、設定するドメインの「設定」をクリックします。
- 「SSL設定」を選択します。
- 新規設定なら「秘密鍵を含む新しい設定の作成」を押します。既存の秘密鍵を使う場合は該当設定を選びます。
- 証明書タイプで「JPRSドメイン認証型(自動更新)」を選びます。
- 管理者メールや連絡先を入力します(例: admin@example.com)。自動更新の通知先になります。
- 画面の指示に従い、確認画面で「申請」や「保存」を押します。
設定後の確認
- 発行状況はSSL一覧や申請履歴で確認してください。自動で所有確認が行われ、問題なければ発行・インストールされます。
注意点
- ドメインのWHOISやDNS情報が正しくないと所有確認に失敗します。
- 自動更新通知メールが受信できるよう、入力したメールアドレスを確認してください。
- 問題が起きた場合はコントロールパネルのログや申請履歴を確認してください。
JPRSドメイン認証型(自動更新)発行時のトラブルシューティング
問題の概要
コモンネーム(CN)のAレコードが、申込時に指定したサーバーのIPと異なる場合、証明書は発行されません。ほかの認証局のCAAレコードがDNSにある場合も発行が止まります。
よくある原因と対処法
- Aレコードが誤っている
- 対処:DNS管理画面でAレコードを申込サーバーのIPに修正します。例:CNが example.com、申込サーバーIPが203.0.113.10なら、Aレコードを203.0.113.10にします。
- CAAレコードが他CAを指定している
- 対処:JPRSで発行するにはJPRSのCAAを追加するか、他のCAAレコードを削除します。既存のサービス影響を確認してから変更してください。
手順(Aレコード修正から発行依頼まで)
- DNS管理画面で該当ドメインのAレコードを修正します。
- TTL分だけ待ち、反映を確認します(確認はDNS管理画面または “dig example.com A” などで行えます)。
- 反映を確認したら、認証局へメールで発行希望を連絡します。メールにはドメイン名、修正した内容、反映確認日時、申込時のサーバーIPを明記してください。
手順(CAAレコード対応)
- 現在のCAAを確認します(管理画面や “dig example.com CAA”)。
- JPRSのCAAを追加するか、不要なCAAを削除します。
- 変更後、反映を確認して認証局へ連絡してください。
注意点
- DNS変更は反映に時間がかかる場合があります。反映確認後に発行依頼を出してください。
- CAAを編集すると他の発行に影響する場合があります。心配なときはDNS管理者やサービス提供者に相談してください。
メール認証サービスの改定
概要
2025年6月下旬にJPRSは、WHOISから取得した連絡先メールアドレスを用いる従来のメール認証を終了し、DNS TXTレコードを使った新しい認証方式に移行します。本章では変更点と対応方法を分かりやすく説明します。
なぜ変更するのか
WHOIS情報は更新や公開範囲に差があり、認証に時間がかかることがありました。DNS TXTを使うと、ドメイン所有の証明を迅速かつ確実に行えます。
主な変更点
- WHOISメール認証の廃止(2025年6月下旬)
- DNS TXTレコードによる認証の導入
移行の流れ(簡単な手順)
- JPRSから払い出される認証トークンを受け取る
- ドメインのDNSに指定形式のTXTレコードを追加する(例: _jprs-auth=”トークン”)
- 反映を確認してJPRSに認証完了を通知する
注意点とトラブル対策
- DNSの反映(TTL)に時間がかかる場合があります。反映前に再確認してください。
- DNSプロバイダがTXTレコードをサポートしているか確認してください。
- 記述ミス(余分な空白や引用符の有無)で失敗することがあるため、指示どおり正確に入力してください。
推奨アクション
- 事前にDNS管理者と連携して準備してください。
- 自動更新を使う場合は、TXTレコードの更新手順を運用に組み込んでください。
ご不明点はJPRSのサポート窓口にお問い合わせください。
