FAQ7:更新申請およびその他手続き(秘密鍵のリキー、付帯ドメイン異動処理、失効)

Q. 稼働中のSSL証明書を更新するための要件はありますか?

更新時には、お客様サイトからの情報漏えいを防ぐため、CSRの再生成(秘密鍵の再生成により)を必ず実施してください。これは、PC等ログインパスワードを定期的に変更すること以上に重要な要件であることを肝に銘じてください。

更新時であっても、EV SSL, デラックスSSL(組織認証)あるいはスタンダードSSL(ドメイン認証)それぞれの発行に必要な認証手続きを、「新規」発行時同様に実施致します。ただし、過去27か月以内にそれぞれのクラスの認証手続きをフルに実施しパスした証明書を更新する場合には、米国認証局Go Daddy社の独自の判断で無作為に一切の認証手続きを割愛し、更新証明書を即時発行することがあります。

証明書を更新する際、証明書のクラスを問わず、前回発行時に登録されている証明書発行先組織の組織名および登録住所(および代表電話番号)の変更はできません。EV SSLについては、証明書要求やEVサブスクライバ契約への電子署名者に変更ある場合も、米国認証局ポリシにより更新はできませんので、ご注意ください。

なお、証明書の更新時の証明書発行先組織担当者情報(氏名・部署・メールアドレス)の変更は、証明書のクラスを問わず可能です。(ただし、CSRの英文組織情報(ディスティングウィッシュ・ネーム情報)はこの限りではなく、部署名"OU"以外の情報は一切変更はできません。)

注意事項
証明書発行先組織の組織名および登録住所に変更がある場合(組織名変更や本店移転等。法務局発行「現在事項証明書」等にて確認致します。)、証明書のクラスを問わず、別途「新規」扱いにて証明書を発行させて頂きます。この場合、60日を上限に新規証明書の有効期限を調整できますので弊社サポートGまでご相談ください。

Q. いつから更新ができますか?

現在稼働中のSSL証明書の有効期限が到来する60日前から可能です。

更新されるSSL証明書の有効期限は、現在稼働中のSSL証明書の有効期限に、更新時お買い求めになった有効期間(X年)が加算されます。

例えば、稼働中SSL証明書の有効期限が2009年4月1日までだとすると、現在稼働中のSSL証明書の有効期限60日前以降いつ更新処理をされても、常に(2009+X)年4月1日まで有効なSSL証明書に更新されることになります。

Q. 稼働中のSSL証明書の有効期限が過ぎてしまいました。更新できますか?

有効期限が過ぎてから30日以内であれば更新手続きが可能です。
それ以降の場合は、新規発行扱いとなります。

Q. SSL証明書は有効期限が切れるとどうなるのですか?

ブラウザによる「SSL証明書は有効期限が切れています」の警告メッセージが表示され、ブラウザによっては一切閲覧できなくなります。

Q. 稼働中SSL証明書を発行する際生成した過去のCSRを再利用できますか?

更新時には、お客様サイトからの情報漏えいを防ぐため、CSRの再生成(秘密鍵の再生成により)を必ず実施してください。これは、PC等ログインパスワードを定期的に変更すること以上に重要な要件であることを肝に銘じてください。

Q. 発行済みSSL証明書の再発行は可能ですか?

お客様管理サイト「証明書管理」メニューから、有効期間中無制限に可能です。秘密鍵(CSR)の変更(リキー処理)、Twin Root(双子ルート)オプション、ドメイン異動処理(マルチドメイン証明書に限る)を、再発行により無償で実施できます。

Q. 秘密鍵のリキー(CSRの変更)をした上で再発行することは可能ですか?

はい、お客様管理サイト「証明書管理」メニューから、発行済証明書の有効期間中無制限に可能です。 証明書申請時に使用した秘密鍵の変更、使用すべきCSRの選択誤り(過去に使用済みのCSRとの取り違え等)があった際にご利用頂ける他、Twin Root(双子ルート)オプションや、ドメイン異動処理(マルチドメイン証明書に限る)も、お客様管理サイト「証明書管理」メニューの再発行処理により行えます。 詳しくは弊社までお問い合わせください。

注意事項1
秘密鍵のリキーに伴い、CSRを変更(再生成)いただく際、鍵長やルート証明書(Twin Root(双子ルート)オプション)の変更は可能ですが、証明書利用者(申請者)の部署名"OU"を除く一切の識別名(ディスティングウィッシュネーム情報)を変更することはできません。
注意事項2再発行証明書の納品日時が読めない場合があります!

通常リキー再発行には認証手続きは不要ですが

  • 【1】過去1年を超えて認証手続きがなされていない場合や、
  • 【2】コモンネームになりすましサイトに多用される文言(facebook, google, Microsoft, Bank, finance等)が含まれている場合等

米国認証局判断で、発行審査(ドメイン認証・組織認証・EV認証)をフルに再実施することがあります。

この場合、想定以上に証明書の再発行に時間を要することがありますのでご注意ください。(前回認証手続き後に組織名や登録住所に異動がある場合には、リキーではなく、改めて「新規」ライセンスをご購入頂くことになりますのでご承知おきください。)

リキーにより証明書が再発行された場合、その時点から「72時間」で再発行前の証明書が自動失効します!

従い、それまでにサーバ上での新旧証明書の「置き換え」を完了する必要があります。

新旧証明書置換の「タイムラグ」を最少化することは、過去事例 からも極めて重要であり、数十台規模のサーバで稼働する同一証明書は、敢えて秘密鍵を複数に冗長化し(別途ライセンス購入が必要です)、リスクを分断することが合理的です。

リキー再発行ではなく、別途新規取得をお願いする場合があります!

大規模システムの複数サーバ上で単一証明書を共用されているお客様で、多数人員を夜間等に配し実施される証明書置換作業を抜かりなく完了させるためは、再発行前証明書が自動失効してしまう「リキー」ではなく、現行証明書に一切影響を与えない「新規ライセンス」の別途ご購入をお薦めします。

Q. SSL証明書の失効はできますか?

お問い合わせから弊社にご依頼ください。発行済証明書の失効処理は弊社にて一元的に実施致します。但し、一旦失効されたSSL証明書は2度と再利用することができませんのでご注意ください。

Q. SSL証明書の有効期間中にサーバ変更/移設を行うことになりました。

原則、秘密鍵をエクスポートできるサーバから、SSL証明書及び秘密鍵のペアをインポートできるサーバへの変更・移設は可能です。

ジェイサートではサポートしておりませんので、詳しくは各製品のアプリケーションマニュアルか開発元・販売元にお問い合わせください。

お客様の参考資料として、Apache、Microsoft IIS における秘密鍵のエクスポート、SSL証明書及び秘密鍵のインポートに関する手順につきガイドを用意しております。詳細はこちら。

Q. 証明書利用者の登録情報が変更になりました。

証明書のクラス(認証レベル)に関わらず、発行済証明書の更新においては、ご担当者氏名や部署名等の登録済申請情報の変更が可能です。

ただし、証明書発行先組織の組織名あるいは登録住所に変更あった場合には、証明書のクラス(認証レベル)に関わらず、更新はできません。改めて、新規にてご申請頂きます。この場合、60日を上限に新規証明書の有効期限を調整できますので、弊社サポートGまでご相談ください。

Q. SSL証明書及び秘密鍵のバックアップ(エクスポート)、インポートの方法について。

ジェイサートではサポートしておりませんので、詳しくは各製品のアプリケーションマニュアルか開発元・販売元にお問い合わせください。

お客様の参考資料として、Apache、Microsoft IIS 6以降における秘密鍵のエクスポート、SSL証明書及び秘密鍵のインポートに関する手順につきガイドを用意しております。詳細はこちら。

Q. 現在利用中のSSL証明書はいつ失効する?(イベント別:更新、リキー(CSR変更)、ルートオプション、マルチドメイン入替)

現在利用中のSSL 証明書はイベント別に以下のタイミングで失効しますので、新しい証明書のインストールは、必要に応じ、お客様のサービスに影響の出ない時間帯(営業時間外など)に行うようご留意ください。

更新時 更新処理により新たなSSL証明書が発行されましても、現在利用中のSSL 証明書の有効期間内であれば継続利用頂けますので、その有効期限内に余裕をもって更新証明書との置換を完了してください。
ルートオプション
実施時
ルートオプション実施による再発行時、新しいSSL証明書が発行されてから「72時間」経つと、現在利用中のSSL証明書は失効(クライアントPC側でエラーとなります)されますので、それまでにサーバ上での新旧証明書の「置き換え」を完了する必要があります。
リキー時
(CSR/秘密鍵変更)
リキーによる新しいSSL証明書が発行されてから「72時間」経つと、現在利用中のSSL証明書は失効(クライアントPC側でエラーとなります)されますので、それまでにサーバ上での新旧証明書の「置き換え」を完了する必要があります。
マルチドメイン入替時 付帯ドメインの入替や追加による新しいSSL証明書が発行されてから「72時間」経つと、現在利用中のSSL証明書は失効(クライアントPC側でエラーとなります)されますので、それまでにサーバ上での新旧証明書の「置き換え」を完了する必要があります。

Q. 更新時にマルチドメイン証明書の付帯ドメインを追加・入替するには?

更新処理時でも、付帯ドメイン内容を変更できます。

現在御利用中の証明書(更新前)は、いつ更新処理を実施しようと、その有効期間一杯そのまま利用頂けますので、現行の付帯ドメイン構成の暗号化も更新前証明書の有効期限一杯継続利用できます。

なお、更新処理時、付帯ドメインの上限枠数の変更はできませんので、新規で取直しとなります。この場合、60日を上限に新規証明書の有効期限を調整できますので、弊社サポートGまでご相談ください。

FAQ一覧へ戻る