質問

Advanced Search

Solution ID : SO22871

Last Modified : 07/27/2018

中間CA証明書のインストールについて

Problem


中間CA証明書は、必ず設定する必要がありますか。

Solution

 


当社のサーバIDは、複数の階層構造で有効性を検証する証明書です。
SSL/TLS接続の際、ブラウザ等のSSLクライアントは下層から順に証明書をたどり、最上位のルート証明書までを確認してサーバIDを検証しています。中間CA証明書が設定されていなくても、補完機能をもつPCブラウザ等では問題なく接続できる場合もありますが、すべてのクライアントから正しく証明書を検証できるように、取得したサーバIDとあわせて中間CA証明書もウェブサーバにインストールする必要があります。

 

中間CA証明書の入手

クライアントは中間CA証明書を介して3階層でサーバIDを検証します。中間CA証明書は以下のサイトからダウンロードしてください。

ルート証明書(ブラウザ等のクライアント環境に標準で格納されています)
 

中間CA証明書(各製品専用の中間CA証明書をダウンロードし、ウェブサーバにインストールします)
   

サーバID(お客様のサーバID:取得後、ウェブサーバにインストールします)
製品名 署名アルゴリズム 中間CA証明書 ルート証明書
セキュア・サーバID EV
グローバル・サーバID EV
RSA SHA-2 DigiCert SHA2 Extended Validation Server CA DigiCert High Assurance EV Root CA
セキュア・サーバID
グローバル・サーバID
*ワイルドカードも含む
RSA SHA-2 DigiCert SHA2 Secure Server CA DigiCert Global Root CA

※2017年11月30日までに発行されたシマンテックCAの証明書、またはストアフロント以外で取得したRSA SHA-2以外の証明書の中間CA証明書はリポジトリからダウンロードできます。

 

クロスルート設定用証明書の入手(オプション)

クロスルート証明書はルート証明書「Balitimore Cybertust Root」のみ搭載された従来型の携帯電話等からのアクセスに対応するための経路オプションとして提供されています。中間CA証明書と併せて設定することで、クライアントは3階層または4階層でサーバIDを検証します。クロスルート証明書は以下のサイトからダウンロードしてください。

ルート証明書「Baltimore CyberTrust Root」(ブラウザ等のクライアント環境に標準で格納されています)
 

クロスルート証明書(各製品専用のクロスルート設定用証明書をダウンロードし、ウェブサーバにインストールします)
   

中間CA証明書(各製品専用の中間CA証明書をダウンロードし、ウェブサーバにインストールします)
     

サーバID(お客様のサーバID:取得後、ウェブサーバにインストールします)
製品名 署名アルゴリズム 中間CA証明書

クロスルート証明書
*3階層のルート証明書と同名ですが、別の証明書です。

ルート証明書
セキュア・サーバID EV
グローバル・サーバID EV
RSA SHA-2 DigiCert SHA2 Extended
Validation Server CA
DigiCert High Assurance
EV Root CA
Baltimore CyberTrust
Root
中間CA証明書 + クロスルート証明書(2枚1組)
*主にApache+OpenSSL用
セキュア・サーバID
グローバル・サーバID
*ワイルドカードも含む
RSA SHA-2 DigiCert SHA2 Secure 
Server CA
DigiCert Global Root CA
中間CA証明書 + クロスルート証明書(2枚1組)
*主にApache+OpenSSL用

※2017年11月30日までに発行されたシマンテックCAの証明書のクロスルート証明書については こちらを確認ください。
※シマンテックCAから発行された証明書のクロスルート証明書は設定非推奨でしたが、現在の上記クロスルート証明書は必要に応じて設定してください。
※Google Chrome において、クロスルート証明書を介して4階層接続した際にEVグリーンバーが表示されない事象を確認しており、調査を行っております。

 

中間CA証明書のインストール

中間CA証明書やクロスルート証明書のインストール方法については、各アプリケーションごとのサーバIDインストール手順を確認してください。

SO24090 - サーバID と 中間CA証明書 のインストール