SSLサーバー証明書取得手続き<ジオトラスト編>

このページでは、個人でも取得可能なサーバ証明書である、
ジオトラスト/クイックSSLプレミアムのセキュアサーバID取得の際の流れをご案内しております。
レンタルサーバー Lite Basic Pro、FLEX、SECURE、ADVANCE、 EXPERT、Plesk搭載のEX-CLOUD各プランにおいては、
CSR作成、証明書申請代行、インストール代行までを一貫しておこないますが、 Plesk非搭載のEX-CLOUD各プランで証明書申請代行のみとなります。

当社取り扱いサーバ証明書の比較については下記をご参照ください。
SSL証明書比較

1.SSLサーバ証明書取得、設定の流れ

  • メールやトラブルチケットでのご注文
  • 現在オンラインストアからの購入はできません。サポートセンターにお問い合わせいただき
    所定のフォーマットをご返信ください。
    なお、SSLサーバ証明書は、単体ではご購入いただくことはできません。
    ホスティングプランのご契約が前提となります。
    注文時に申請情報をご記入いただく形になります。
    
    
  • 申請手続き開始の通知
  • オンラインストアでのアンケートの内容に明らかな不足事項がある場合は、
    サポートセンターより、内容についてお客様にお問い合わせをお送りいたします。
    ご入金確認がとれた段階で、初めて申請作業を開始いたします。
    その際、お客様の登録メールアドレス宛にご連絡さしあげます。
  • ジオトラストへ申請
  • 申請確認メール
  • ジオトラストから、WHOISの登録情報のドメイン管理者アドレス宛に、申請確認メールが届きます。
  • 指定URLで承認作業
  • ドメイン管理者様には、メール内に指定されたURLをクリックいただき、承認作業を行っていただきます。
  • 証明書発行
  • 証明書テキストデータが弊社宛に送付されます。
  • 証明書の設定
  • 弊社にて、ご契約サーバに証明書設定作業を行います。
  • 設定完了報告メール
  • 弊社より設定完了のご報告を差し上げます。

2.ご注文時、申請情報の内容

下記の情報をご入力いただきます。

コモンネーム

例:example.org
https://●● で運営する場合の ホスト名にあたる部分です。
www. から始まるコモンネームで、サブドメインがwwwのみの場合、SANsにはコモンネームと合わせて、www. を除いたドメイン名が自動登録されます。
当社のフローでは、このコモンネームで使用された、ドメイン名のWHOIS情報上のデータを参照し、そのメールアドレス宛にドメイン管理者認証用のメールをお送りする手順となっております。

CSR作成のための必要情報

CSRは、SSLサーバ証明書申請の際、必要となるデータです。
CSRは当社で作成しますが、その際下記の「ディスティングイッシュネーム」の情報を元に、インストール先のサーバで暗号化する必要があります。
(1)組織名 サイトを運営する組織の正式英語名称
例:GeoTrust Japan, Inc.
(2)部門名 部門・部署名など任意の識別名称
例:Customer Service
(3)市区町村名 サイトを運営する組織の所在地
例:Kawasaki
(4)都道府県名 サイトを運営する組織の所在地
例:Kanagawa
(5)国別番号 国コード
例:JP

申請者様の情報

以下の情報は、ウェブブラウザ上で、公開されませんが、当社より申請代行を行うにあたり、必要な情報になります。ジオトラストに提出される情報です。
(6)申請団体名 企業や団体で取得の場合、申請団体運営企業名
個人で取得の場合個人名
(7)申請責任者 もし企業や団体の場合、(6)の申請団体に所属している担当者名
個人で取得の場合、(6)と同じで結構です。
(8)申請責任者(英語) (7)のアルファベット表記です
(9)電話番号 申請団体/申請者様の、ご連絡可能な電話番号です。携帯電話番号は受け付けていません。

3.ジオトラストのメール認証の手法

ジオトラストのメール認証とは

申請開始後、証明書の発行の意思確認を確認するため、特定のEメールアドレス宛に申請承認メールが自動送信されます。特定のEメール受信者の承認があってはじめて、証明書が発行されます。この様な認証方法を「メール認証」といいます。

特定のEメールアドレス宛とは?
弊社手続きでは、コモンネームのドメイン名のWHOISデータベース上の管理者メールアドレスに対して、承認メールをお送りします。ですので、あらかじめWHOISデータベース上のプロテクト設定(WHOIS情報登録代行サービス)などは解除いただき、個人様の確認ができるメールアドレスを公表いただくようお願いしています。

※共有型のホスティングサービスにインストールするSSLについては『ファイル認証』という形式で申請代行をする場合があります。この場合、お客様にメールを受け取っていただき、承認していただく等の手順がなく発行までの時間が短縮されます。
『ファイル認証の概要』 1.認証局発行の認証用ファイルを次のURLに設置させていただきます。 http://<申請時に指定したFQDN(コモンネーム)>/.well-known/pki-validation/fileauth.txt 2.ジオトラストの認証用サーバがファイルが配置されたことを確認するため、1.のURLにアクセスします。このときファイルが正常に設置されていれば認証完了となり、証明書が発行されます。

申請確認メールの送付(ジオトラストからドメイン管理者様)

弊社がジオトラストの申請を開始すると、ドメイン管理者様あてに下記のようなメールが送付されます。

ジオトラストからドメイン管理者宛に送付されるメール文例

From	:	<sslorders@geotrust.com>
To	:	<ドメイン管理者様アドレス>
Subject	:	ジオトラスト クイックSSL プレミアム 申請確認メール
=================================================
本メールは、システムより自動送信されています。
返信されましてもお答え出来ませんのでご注意ください。
=================================================

ご担当者様

下記URL、申請者情報にて、ジオトラスト クイックSSL プレミアムの申請を受理 いたしました。

https://example.org [コモンネーム]

申請者情報:

お名前: [申請者のお名前]
E-mail: [申請者のメールアドレス]
電話番号: [申請者のお電話番号]

申請情報に間違いがなければ、下記URLにアクセスして、「承認する」のボタンを クリックしてください。

https://●●.geotrust.com/orders/Approval.do?pin=●●●

※注意
「承認します」のボタンクリック後、「注文は確認のため順番待ちです」と表示された
場合、手動による確認となるため、証明書発行まで、多少のお時間がかかります。
お急ぎの場合は、弊社正規パートナ様である証明書申請の依頼先にご連絡ください。


------------お問合せ先------------
ジオトラスト カスタマーサービス
●●●●
----------------------------------

上述のメールの指示に従い、ドメイン管理者様は、指定のURLへアクセスします。URLは14日間有効ですので、その期間内での作業をお願いいたします。

指定URLでの承認作業(ドメイン管理者様)

上述のメールに記されたURLへアクセスすると、ご注文された、証明書情報(コモンネーム、組織、部署、国)等が表示された画面が表示されます。
ここでご確認いただきたいのはコモンネーム、国の内容です。
ジオトラストの証明書の場合、企業認証ではないため、組織名はコモンネームと 同じもの、部署名にはジオトラストが割り当てる文字列が入力されます。

参考:【ジオトラストの証明書情報の例】

コモンネーム (CN) = example.org
部署       (OU) = Domain Control Validated - QuickSSL Premium(R)
部署       (OU) = See www.geotrust.com/resources/cps (c)08
部署       (OU) = ●●●●
組織名:     (O) = example.org(CNと同じもの、ドメイン名)
国名:      (C) = JP

「承認します」をクリックいただきます。
ここまででドメイン認証プロセスは終わりです。
ドメイン認証が完了すると、弊社宛に証明書が発行されます。証明書発行後、サポートスタッフにて、インストール作業を行わせていただきす。

4.SSLサーバ証明書の申請や設定ができないケース

・コモンネームや、ドメイン名が有効でないもの
・ドメイン管理者のメールアドレスが無効であるもの
・ドメイン管理者が承認しないもの
・FLEXプランの場合、固定IPアドレスを購入されていない場合
・弊社サーバのホスティング契約がなんらかの理由で無効となっているもの

5.Plesk非搭載(もしくはサポート外バージョンのPlesk搭載の)のEX-CLOUD各プランの場合

Pleskを搭載されていない場合、もしくはサポート外バージョンのPlesk搭載のサーバのSSLサーバ証明書は 当社は証明書申請代行のみ行います。
手順については以下のようになりますが、 お客様の具体的な操作についてはコマンドライン作業(もしくはPlesk12等の管理画面上の操作)になります。

コマンドラインの操作については、ジオトラストのガイドをご参照いただければと思います。

1)SSL証明書のご注文と代金のお支払い【お客様】
2)お支払い確認、お客様へ申請情報の確認とCSR送付のご依頼【弊社】
3)CSRの作成後弊社へ送信、申請情報のご連絡【お客様】

ジオトラスト Apache + OpenSSL CSR生成手順 (新規)
※当サポートでCSRを作成する場合は、SHA-2で作成するようにしております。
CSRをSHA256形式で生成する場合のコマンド操作例ですが

秘密鍵作成
openssl genrsa -des3 -out new2.pem 2048 -sha256

CSR作成
openssl req -new -sha256 -key new2.pem -out new2.csr

という形で指定オプション「-sha256」が追加された形となります

※Plesk非搭載環境の場合、OpenSSLのコマンドパスは /usr/local/ssl/bin ではなく/usr/bin/となりますので置き換えてください
4)ジオトラストへSSL証明書取得申請【弊社】
5)メールで届く認証URLをクリック【ドメイン管理者様】
6)SSL証明書、中間証明書の受け取り、お客様へチケットで送信 【弊社】
7)SSL証明書、中間証明書のインストール 【お客様】
コマンドラインの場合は以下のリンクをご参照ください
ジオトラスト Apache + OpenSSL サーバIDインストール手順 (新規)
Plesk12の場合は以下をご参照ください
ウェブサイトをセキュリティ保護する(メーカ提供ガイド)

ご自身でインストール後、SSLチェッカー等でインストール後チェックいただくことをお奨めします。
ジオトラストインストールチェッカー(英語)

【注】負荷分散オプション(HA)で複数台で同一コモンネームのSSLサイトを運営される場合
分散の対象となっているマシンの内の1台でCSRを作成いただき申請をいただきますが、最終的に取得された サーバ証明書、中間証明書、秘密鍵ファイルを負荷分散対象のウェブサーバ台数分複製し、各ウェブサーバにインストールいただく必要があります。
SSL証明書比較 負荷分散環境に対する各社のライセンス指針