Knowledge Base

 

• SSL/TLS証明書
• S/MIME証明書（セキュアメールID）
• 認証マーク証明書（VMC）
• コモンマーク証明書(CMC)

 

■ドメイン名の認証（DCV）について

Q1. どのような認証方式でドメイン名を承認できますか？
Q2. 証明書の申請の都度、ドメイン名の認証が必要になりますか？
Q3. ドメイン名の所有者が承認する必要があるのはなぜですか？
Q4. 申請時に選択したDCV認証方式を変更できますか？
Q5. ドメイン名の認証階層を変更して承認できますか？
Q6. ドメイン名の認証を証明書の申請前に行うことはできますか？
Q7. 期限切れ前にドメイン名の認証を更新・再認証することはできますか？
Q8. 承認操作が完了していない未承認のドメイン名の認証を再開できますか？
Q9. 承認操作完了後も証明書が発行されません

A1.
CertCentralから証明書（オーダー）を申請する際、または新しいドメイン名の追加や登録済ドメイン名を再認証する際、以下いずれかのドメイン名の認証（DCV）方式を選択できます。各認証方法の詳細は、リンク先を確認してください。

DCV方式	利用権確認プロセス
Eメール認証 (Verification Email - 申請承認メール) または (DNS TXT record email contacts)	1. 構築されたＥメールアドレス宛のメール認証 以下5つの構築されたEメールアドレスをDCVメールの送信先に指定できます。 受信したDCVメール本文にあるURLから承認操作を行っていただきます。 admin@（コモンネームまたはベースドメイン名） administrator@（コモンネームまたはベースドメイン名） hostmaster@（コモンネームまたはベースドメイン名） postmaster@（コモンネームまたはベースドメイン名） webmaster@（コモンネームまたはベースドメイン名） Notes : Eメールを受信するために、EメールアドレスドメインのDNSレコードに有効なMXレコードが必要です。 事前にMXレコードの登録を確認してください。詳細はご利用のメールサーバ管理担当者様へご相談ください。[参考] Create an MX Record メール認証・DCVメールについての詳細は、以下のFAQを確認してください。 [DCV] メール認証方式 : Verification Email 2. DNSに登録したEメールアドレス宛のメール認証(DNS TXT record email contacts) 任意のEメールアドレスをドメイン名のDNS TXTレコードに登録することで、DCVメールの送信先に指定できます。 受信したDCVメール本文にあるURLから承認操作を行っていただきます。 【CertCentralアカウントの事前設定】 この方法を利用するには、事前に「認証DCV電子メール送信先」の設定を有効にする必要があります。 CertCentralの「設定」メニューから「ユーザー設定」を選択し、表示された画面下部の “詳細設定” をクリックします。  ドメイン名利用権の確認（DCV）項目にある「認証DCV電子メール送信先」で、使用するDCVメール送信先を 選択します。「Org/Tech/Admin contacts from DNS TXT」を有効にすると、DNS TXTレコードに設定したEメールアドレスを 送信先として選択できるようになります。 【DNS TXT record email contactsの設定】 DNSレコードにDCVメール送信先Eメールアドレスを登録する手順は、以下のFAQを確認してください。 [DCV] メール認証方式 - DNS TXT record email contacts Notes : DNSサーバの設定が必要です。ご利用のDNSサーバ管理担当者様へ設定を依頼してください。 [参考] Create a TXT Record
	終了 WHOIS掲載のEメールアドレス - Ballot SC-80v3 WHOIS掲載の連絡先情報を使用したドメイン検証プロセスは終了しました。 任意のEメールアドレスをDCVメールの送信先とする場合は、"2. DNSに登録したEメールアドレス宛のメール認証(DNS TXT record email contacts)" をご利用ください。 WHOIS ベースのEメール によるドメイン名の利用権確認(DCV)方式のご利用及びサポート終了に関するご案内
DNS認証 (DNS TXT Record) または (DNS CNAME Record)	1. DNS TXT認証 (DNS TXT Record) ドメイン名のDNS TXTレコードを編集してドメイン名の利用権確認(DCV)を完了させる手順です。 CertCentralからの申請時にDCV方式として「DNS TXT Record」を選択を選択すると、認証用のトークン値（ランダムに生成される認証コード）が生成されます。 申請ドメインのDNS にTXTレコードを作成いただき、生成された認証トークンをTXT 値フィールドに追記してください。 弊社システムが認証トークンを検知すると、DCVが完了します。 手順については、以下のFAQも確認してください。 [DCV] DNS認証方式 : DNS TXT Record Notes : 認証するドメイン名のDNSサーバの設定が必要です。ご利用のDNSサーバ管理担当者様へ設定を依頼してください。 [参考] Create a TXT Record 2. DNS CNAME認証 (DNS CNAME Record) ドメイン名のDNS CNAMEレコードを編集してドメイン名の利用権確認(DCV)を完了させる手順です。 CertCentralからの申請時にDCV方式として「DNS CNAME Record」を選択を選択すると、認証用のトークン値（ランダムに生成される認証コード）が生成されます。 申請ドメイン名の指定箇所にCNAMEレコードを作成いただき、dcv.digicert.com を CNAME ターゲットとして 生成された認証トークンを追記してください。 弊社システムが認証トークンを検知すると、DCVが完了します。手順については、以下のFAQも参照してください。 [DCV] DNS認証方式 : DNS CNAME Record Notes : 認証するドメイン名のDNSサーバの設定が必要です。 ご利用のDNSサーバ管理担当者様へ設定を依頼してください。 [参考] Create a TXT Record
ファイル認証 (HTTP Practical Demonstration) または (HTTP Practical Demonstration with unique file name)	ファイル認証方式でドメイン名の認証を行う場合、発行する証明書に含まれる全てのFQDN/SANs階層毎にDCVを実施する必要があります。 また、ワイルドカード証明書の申請にはご利用いただけません。 1. HTTP Practical Demonstration 申請ドメイン名（申請FQDN/SANs全て）のウェブサイトの指定箇所に、認証ファイルをアップロードしてドメイン名の利用権確認(DCV)を完了させる手順です。 CertCentralからの申請時にDCV方式として「HTTP Practical Demonstration」を選択を選択すると、認証用のトークン値（ランダムに生成される認証コード）が生成されます。 申請ドメイン名（申請FQDN/SANs全て）のウェブサイトの指定箇所に、生成された認証トークンを含む .txt ファイルをアップロードしてください。  弊社システムが認証トークンを検知すると、DCVが完了します。手順については、以下のFAQも確認してください。 [DCV] ファイル認証方式 - HTTP Practical Demonstration 2. HTTP Practical Demonstration with unique file name 一意のファイル名による HTTP 実践デモンストレーション 申請ドメイン名（申請FQDN/SANs全て）のウェブサイトの指定箇所に、認証ファイルをアップロードしてドメイン名の利用権確認(DCV)を完了させる手順です。 認証用のトークン値をユニークなファイル名（ランダムに生成されるファイル名）で .txt ファイルとして作成し、申請ドメイン名（申請FQDN/SANs全て）のウェブサイトの指定箇所にアップロードいただくこともできます。この方法を利用するには、事前にアカウントの設定でこの方式を有効にしておく必要があります。 手順については、[DCV] ファイル認証方式 - HTTP practical demonstration with unique filename を確認してください。

Note: ドメイン認証（DCV）の自動化についてのご質問はこちらのページを参照ください。

 

Q2. 証明書の申請の都度、ドメイン名の認証が必要になりますか？
A2.

• OVおよびEV SSL証明書の場合：
  "ドメイン名" および証明書の申請"組織（組織ID）" それぞれの認証履歴が CertCentralに保管されます。
  同一ドメイン名 および 同一組織（組織ID）の組合せで証明書の申請を受付けた場合、その時点で認証が有効（有効期間内）であれば、再承認が不要となります。
• DV SSL証明書の場合：
  新規・更新・再発行等の申請種類に関わらず、証明書を発行するために毎回DCVへの承認操作が必要になります
  [DV] DV証明書（ドメイン認証型SSL証明書）とは

 

Q3. ドメイン名所有者が承認する必要があるのはなぜですか？
A3.
ドメイン名の認証（DCV）は、ドメイン名が意図しない証明書の申請に利用され、発行されることを防ぐために必要な確認手続きです。
ドメイン名の所有者に対し、証明書の申請団体が当該ドメイン名の使用権を持つことについて承認確認を行ったうえで証明書を発行します。

 

Q4. 申請時に選択したDCV認証方式を変更できますか？
A4.
CertCentralでは、以下の手順でDCV認証方式を変更できます。

• 「オーダー」メニューから申請した証明書の認証方式を変更する場合：
  「証明書」→「オーダー」の一覧から該当のオーダー番号をクリックして詳細画面を開き、オレンジ色の時計のマークが表示されている保留中のドメイン名を
  クリックするとDCV方式の変更画面が表示されます。
• 「ドメイン」メニューから新しいドメイン名の認証申請をした場合：
  「証明書」→「ドメイン」の一覧から、未承認のドメイン名をクリックして詳細画面を開き、「DCV方式を変更」をクリックするとDCV方式の変更画面が
  表示されます。

※ファイル認証に関する注意事項
DCV認証方式をファイル認証にする場合、証明書のコモンネームおよびSAN（追加されている場合）すべての階層でドメイン認証を完了させる必要があります。
コモンネームおよびSAN（追加されている場合）すべてのFQDN、階層でDCVを開始して承認操作を行ってください。
承認が必要な階層でDCVを開始できない場合は、弊社認証サポート（standard.validation.jp@digicert.com）までオーダー番号（またはアカウント番号）、ドメイン名を
添えてお問い合わせください。

 

Q5. ドメイン名の認証階層を変更して承認できますか？
A5.
ドメイン名の所有者が、証明書申請組織による使用を承認する階層を指定する場合、オーダー申請時に認証階層を指定してドメイン認証を開始することができます。

証明書の申請画面から「ドメイン名利用権の確認（DCV）」→「DCV scope」で認証階層を指定することができます。

• 認証のために正確なドメイン名を送信する : サブドメインを含むFQDNレベルに限定して承認する場合はこちらを選択します。
• 認証のためにベースドメインを送信する : ベースドメインレベルで承認する場合はこちらを選択します。

※ファイル認証に関する注意事項
CA/ブラウザフォーラムにおける Baseline Requirement（Ballot SC45）改定により、ファイル認証方式（DCV方式：HTTP Practical Demonstration）でドメイン名の
承認操作をする場合は、証明書内の個々のFQDN/SANsごとにドメイン名の検証が必要となります。詳細はドメイン名の認証ポリシーの変更について – 2021年を
確認してください。

 

Q6. ドメイン名の認証を証明書の申請前に行うことはできますか
A6.
証明書申請組織を登録後、以下の手順でドメイン名の事前認証を開始できます。

1. CertCentralにログイン後、左側のメニューより「証明書」→「ドメイン」をクリックしてください。
2. 「新しいドメイン」ボタンをクリックすると、ドメイン情報を入力する画面が表示されます。
3. 「ドメイン名」にSSL証明書を取得するサイトのドメイン名を入力してください。続いて、「組織」のプルダウンから、証明書申請組織名を選択します。
4. ドメイン名の利用権確認（DCV）方式を選択するメニューが表示されます。4つの方式から1つを選び、「認証申請」ボタンをクリックします。
5. 選択した方式でドメイン名の利用権確認（DCV)のための認証が開始されます。各方式毎の承認操作が完了すると、ドメイン名の認証が完了します。

 

Q7. 期限切れ前にドメイン名の認証を更新・再認証することはできますか
A7.

1. CertCentralにログイン後、左側のメニューより「証明書」→「ドメイン」をクリックしてください。
2. 更新期限間近(または期限切れ)のドメイン名をクリックします。
3. ドメイン名の利用権確認（DCV）方式を選択するメニューが表示されます。4つの方式から1つを選び、「認証を申請」ボタンをクリックします。
     ※「認証を申請」ボタンがグレーアウトしてクリックできない場合は、「認証するドメインを申請し、ド    メインの再認証を再開します。」のチェックBOXを
   オンにするとアクティブに変わります。
4. 選択した方式でドメイン名の利用権確認（DCV)のための認証が開始されます。各方式毎の承認操作が完了すると、ドメイン名の認証が完了します。

 

Q8. 承認操作が完了していない未承認のドメイン名の認証を再開できますか
A8.

以下の手順でドメイン認証方式を選択し、認証を再開できます。

• 「オーダー」メニューから申請した証明書のドメイン認証を再開する場合：
  「証明書」→「オーダー」の一覧から該当のオーダー番号をクリックして詳細画面を開き、オレンジ色の時計のマークが表示されている保留中のドメイン名を
  クリックします。
  表示された画面で認証方式を選択し、ドメイン認証を再開できます。
• 「ドメイン」メニューから新しいドメイン名の認証を再開する場合：
  「証明書」→「ドメイン」の一覧から、未承認のドメイン名をクリックして詳細画面を開き、認証方式を選択し、ドメイン認証を再開できます。

※ドメイン認証の有効期間は開始から30日間です。未承認のまま期限切れを迎えた場合は上記の手順でドメイン認証を再開してください。

 

Q9. 承認操作完了後も証明書が発行されません
A9.

ドメイン名の認証プロセスおよび申請証明書の組織認証が完了しているにも関わらず、証明書が発行されない場合、 DNSSEC (Domain Name System Security Extensions）の設定に問題があることで、DNSSECの自動チェックに失敗している可能性があります。

DigiCertでは、CA/ブラウザフォーラム Ballot SC-085v2「CAAおよびDCVルックアップにDNSSEC（存在する場合）の認証を必須とする」に準拠するため、ドメイン利用権確認(DCV)およびDNS CAAチェックの実行時にDNSSECの検証を開始しています。詳細はドメイン利用権確認(DCV)および認証局承認(CAA)実行時におけるDNSSECの検証を確認してください。

また、DigiCertのドメイン検証のエージェントMPIC（Multi-Perspective Issuance Corroboration）の動作が、ファイアウォールのルール、DNSレート制限などにより意図せず制限されることでタイムアウトが発生したり、検証に失敗する可能性もあります。 詳細はトラブルシューティング / MPIC によるドメイン認証（DCV）が失敗する場合 を確認してください。