初心者でも安心！SSLとファイル認証の基本手順をわかりやすく解説

2025 11/06

2025/11/06

はじめに

背景

インターネット上でやり取りする情報の多くは機密性が求められます。パスワードやクレジットカード番号、個人情報を安全に送受信するために、SSL（TLS）証明書は不可欠です。本書は実務で使うファイルや手順に焦点を当て、現場で役立つ知識を丁寧にまとめています。

本書の目的

証明書の仕組みや種類を分かりやすく説明します。証明書ファイルの役割や連結例、具体的なインストール手順、運用時の注意点までカバーします。実務で迷わないための手順書としてご利用ください。

想定読者

ウェブ担当者やシステム管理者、SSL導入を検討している方を想定します。専門家でなくても実践できるよう、専門用語は最小限にして具体例で補います。

本書の構成（概要）

第2章：基本と認証方式
第3章：証明書ファイルの種類と役割
第4章：取得とインストール手順
第5章：管理・運用のポイント
第6章：SSL化がSEO・信頼性に与える影響
第7章：実務的なポイント

読み方の注意

実際の操作は環境によって異なります。手順をそのまま実行する前に、バックアップを取り、必要に応じてベンダーのドキュメントも参照してください。

SSL証明書の基本と認証方式

SSL/TLSとは

SSL証明書は、Webサイトと利用者の間の通信を暗号化し、第三者による盗聴や改ざんを防ぐためのデジタル証明書です。現在はTLSという仕組みが主流ですが、一般に「SSL証明書」と呼ばれます。実際にはブラウザの鍵と鍵交換により安全な通信路を作ります。

なぜ必要か

通信が暗号化されると、パスワードやクレジットカード番号など大事な情報を守れます。さらにブラウザは安全でないサイトに警告を出すため、訪問者の信頼を得やすくなります。具体的には、検索結果やユーザーの離脱率に影響することがあります。

認証方式の主な種類

ファイル認証（ドメイン認証、DV）
サーバーに指定のファイルを配置し、認証局がその存在を確認して所有権を証明します。手続きが簡単で、個人サイトや小規模事業者に向きます。例：ブログや小さなショップ。
組織認証（OV）
申請企業の実在や運営を認証局が確認します。企業サイトや会員向けサービスで利用され、一定の信頼性を示せます。
拡張認証（EV）
最も厳格な審査を行い、法人の実在や代表者の確認まで行います。銀行や大手サービスなど、高い信頼性が求められる場合に適します。

選び方の目安

個人やテスト用はDVで十分です。顧客情報を扱うサイトや対外的な企業サイトはOVやEVを検討してください。証明書の種類で審査や発行までの時間と費用が変わりますので、目的に合わせて選びます。

SSL証明書ファイルの種類と役割

サーバー証明書（.crt / .pem）

サーバー証明書は、ウェブサイトが自分であることを示し、通信を暗号化するためにブラウザへ提示します。多くはBase64でエンコードされたテキスト形式です。拡張子は環境で違い、.crt と .pem は同じ内容で使われることが多いです。

秘密鍵ファイル（.key）

秘密鍵はサーバー側だけが持つ機密情報です。証明書とペアで使い、外部に漏らしてはいけません。保管時はアクセス権を厳しくし、必要ならパスフレーズを設定します（例: chmod 600で保護）。

証明書チェーン（中間／ルート）

中間CAやルートCAの証明書を正しい順序で連結して設定します。一般的な順序は「サーバー証明書 → 中間CA → （ルートCA）」です。ルートは省略できる場合もありますが、チェーンが正しいとクライアントでの信頼確認が安定します。

例: サーバー証明書と中間証明書を連結するコマンド
cat ssl_certificate.crt IntermediateCA.crt >> certbundle.pem

秘密鍵付き証明書（.pfx / .p12）

.pfx/.p12 は証明書と秘密鍵を一つにまとめた形式で、Windowsの証明書ストアや一部アプリで使います。通常はパスワードで保護します。

確認用の簡単なコマンド例

証明書を見る: openssl x509 -in cert.pem -text -noout
PKCS#12 の中身確認: openssl pkcs12 -info -in file.pfx

それぞれのファイルは用途と保存場所が異なります。扱い方を正しく理解して安全に運用してください。

SSL証明書の取得とインストール手順

1. 証明書の選択と取得

サイト規模や用途で選びます。個人ブログや小規模サイトは無料のLet’s Encryptで十分です。企業サイトや高い保証が必要な場合はDigiCertやFujiSSLなど有料を選びます。ドメイン認証（DV）はファイル設置かDNSで認証します。具体例：発行業者から提示されるテキストファイルをサーバーの指定パスに置くか、DNSにTXTレコードを追加します。

2. CSRと秘密鍵の作成

サーバーでCSR（証明書署名要求）と秘密鍵を作成します。例：

openssl req -new -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr

秘密鍵（.key）は安全に保管してください。

3. 証明書受領とファイルの種類

発行後に受け取る主なファイル：サーバー証明書（.crt/.pem）、中間証明書（.crt/.pem）、秘密鍵（.key）、Windows向けの.pfx（鍵と証明書をまとめたもの）です。発行業者の指示に従い、必要なファイルを用意します。

4. サーバーへの設置手順（代表例）

Apache: 証明書、秘密鍵、中間証明書を指定して設定（SSLCertificateFile, SSLCertificateKeyFile, SSLCertificateChainFile）。設定後にapacheを再起動します。
Nginx: fullchain（証明書＋中間）と秘密鍵を指定（ssl_certificate, ssl_certificate_key）。設定後にnginxを再読み込みします。
Windows/IIS: .pfxをインポートしてバインドします。

5. 反映確認とテスト

ブラウザでhttps接続を確認し、SSLチェッカーやonlineツールで証明書チェーンを検査します。コマンド例：

openssl s_client -connect example.com:443 -showcerts

6. 更新と自動化

Let’s EncryptはCertbot等で自動更新できます。有料証明書は有効期限前に更新作業を行ってください。更新後はサーバーの再読み込みを忘れずに行います。

SSL証明書管理・運用のポイント

有効期限の管理

証明書は期限切れになるとブラウザが警告を出します。カレンダーやチケットで更新日を管理し、できれば自動更新を導入してください。例：Let’s Encryptは自動更新ツール（certbot）で期限切れを防げます。更新後はサービスを再起動して反映を確認します。

秘密鍵とファイルの保管

秘密鍵は厳重に保管します。サーバー上では所有者を限定し（例：rootのみ読み取り）、パーミッションを600に設定します。バックアップは暗号化して別環境に置き、メールや共有フォルダで平文のまま送らないでください。高い安全性が必要ならKMSやHSMの利用を検討します。

サーバー環境ごとの形式と設定

ファイル形式は環境で異なります。例：Windows/IISはPFX（鍵と証明書をまとめる）を使い、ApacheやNginxはPEM形式で証明書と鍵を分けます。導入時は公式マニュアルやホスティングのヘルプを参照して正しく配置してください。

自動化と監視

有効期限監視の仕組みを用意します。監視ツールや簡単なスクリプトで期限を通知し、証明書更新を自動化したら更新後に接続確認のチェックを組み込みます。CI/CDで証明書配布を行うと人的ミスを減らせます。

定期的な点検とトラブル対応

更新後に中間証明書のチェーンが抜けていないか確認します。公開サービスはSSL Labsなどで定期診断を行い、警告や弱い暗号がないかチェックしてください。万が一のためにロールバック手順と連絡体制を用意しておきます。

SSL化がSEO・信頼性に与える影響

SEOへの影響

GoogleはHTTPSをランキング要素の一つとして扱います。具体的には、同条件のページがあればHTTPSの方がわずかに優遇されます。さらに、HTTPS化によりブラウザ警告を避けられるため、間接的に直帰率が下がり検索順位に良い影響を与えます。例：検索結果で同等のサイトがあれば、HTTPSサイトの方がクリックされやすくなります。