質問

Advanced Search

Solution ID : SO23735

Last Modified : 05/31/2019

[マネージドPKI for SSL]発行されたサーバIDをインストールできません

Problem

申請したサーバIDが発行されましたが、ウェブサーバへのインストールが正常に完了しません。何か確認すべき点はありますか。

Solution

以下のような原因が考えられます。 

  • インストールしているサーバID(公開鍵)と秘密鍵のキーペアの情報が一致していない

    サーバIDの申請にあたって、ウェブサーバアプリケーション上でキーペア (秘密鍵・公開鍵) を作成し、作成したキーペアからCSRを生成する作業をされたと思います。このCSRの中には、作成したキーペアのうち、公開鍵の情報が含まれています。サーバIDは、申請時に提出されたCSRを元に証明書を作成し発行しています。
    このため、発行されたサーバIDは、申請時に提出したCSR (公開鍵) を生成した元となキーペアに対してのみインストールすることができます。

    異なる情報のキーペアには、発行されたサーバIDをインストールすることができません。正しいキーペアに対して、サーバIDをインストールしてください。
    一致するキーペアがご不明な場合は、新しいCSRの再生成を行い証明書再発行をご検討ください。
    SO23493 - サーバID 申請手順書 - 再発行申請手順
     

  • サーバIDのディスティングイッシュネームと CSR 作成時のディスティングイッシュネームが一致していない

    一部のウェブサーバではインストールするサーバID のディスティングイッシュネームと、そのウェブサーバで CSR を作成する時に入力したディスティングイッシュネームの一致を確認しており、不一致の場合、サーバID のインストールエラーになることがあるようです。

    マネージドPKI for SSL においては CSR とサーバID のディスティングイッシュネームが一致しないケースがあります。 

    • CSR 作成時に指定した住所情報が申請団体の住所情報と異なる場合

      CSR 作成時に指定した住所情報(Locality、State、Country)は無視され、発行されるサーバID の住所情報は予め登録されているマネージドPKI for SSL 申請団体の住所情報に置き換わります。そのため、CSR 作成時に申請団体住所と異なる情報を指定した場合、CSR とサーバID のディスティングイッシュネームが一致しない状況が発生します。
      CSR の住所情報には申請団体住所を入力して下さい。

    • CSR 作成時に指定した住所情報が申請団体の住所情報と異なる場合

      CSR生成時に入力いただく組織名に含まれるスペースの有無や大文字/小文字等の軽微な相違であれば申請を受け付け、認証局に登録された組織名に書き換えて発行する仕様となっており、CSR とサーバID のディスティングイッシュネームが一致しない状況が発生します。
      CSRの組織名には登録された申請団体名を入力して下さい。

    • Organizational Unit(OU)認証によりOUが変更された場合

      2018年8月1日(日本時間)以降、証明書発行時にOU認証を実施しており、OUが空白で発行されることがあります。そのため、CSR とサーバID のディスティングイッシュネームが一致しない状況が発生します。
      新しいOrganizational Unit (OU)認証プロセス

  • 上位階層の証明書がインストールされていない 

    一部のウェブサーバでは、事前に上位階層の証明書(ルート証明書、クロスルート設定用証明書、中間 CA 証明書)が全てインストールされていないと、サーバID がインストールできない仕様のものがあります。これは、これからインストールするサーバID がウェブサーバにおいて信頼できるものか、証明書の階層構造(信頼チェーン)を辿ることで確認しているためです。必要な証明書は以下のサイトより取得してください。

    INFO4696 - [マネージドPKI for SSL] ルート証明書/中間CA証明書について