FAQ7:更新申請およびその他手続き(秘密鍵のリキー、付帯ドメイン異動処理、失効)

Q. 稼働中のSSL証明書を更新するための要件はありますか?

更新時には、お客様サイトからの情報漏えいを防ぐため、CSRの再生成(秘密鍵の再生成により)を必ず実施してください。これは、PC等ログインパスワードを定期的に変更すること以上に重要な要件であることを肝に銘じてください。

更新時であっても、EV SSL, デラックスSSL(組織認証)あるいはスタンダードSSL(ドメイン認証)それぞれの発行に必要な認証手続きを、「新規」発行時同様に実施致します。ただし、過去27か月以内にそれぞれのクラスの認証手続きをフルに実施しパスした証明書を更新する場合には、米国認証局Go Daddy社の独自の判断で無作為に一切の認証手続きを割愛し、更新証明書を即時発行することがあります。

証明書を更新する際、証明書のクラスを問わず、前回発行時に登録されている証明書発行先組織の組織名および登録住所(および代表電話番号)の変更はできません。

なお、証明書の更新時の証明書発行先組織代表者情報(社長氏名)、あるいは担当者・管理者情報(氏名・部署・メールアドレス)の変更は、証明書のクラスを問わず可能です。(ただし、CSRの英文組織情報(ディスティングウィッシュ・ネーム情報)はこの限りではなく、一切変更はできません。)

注意事項
証明書発行先組織の組織名および登録住所に変更がある場合(組織名変更や本店移転等。法務局発行「現在事項証明書」等にて確認致します。)、証明書のクラスを問わず、別途「新規」扱いにて証明書を発行させて頂きます。この場合、更新処理できないことによる有効期限のロスを最少限に抑えるため、後継証明書の発行日のご要望に出来る限り対応させて頂きますのでご相談ください。(発行がご要望日翌日となる場合もございます。)

Q. いつから更新ができますか?

現在稼働中のSSL証明書の有効期限が到来する60日前から可能です。

更新されるSSL証明書の有効期限は、現在稼働中のSSL証明書の有効期限に、更新時お買い求めになった有効期間(X年)が加算されます。

例えば、稼働中SSL証明書の有効期限が2009年4月1日までだとすると、現在稼働中のSSL証明書の有効期限60日前以降いつ更新処理をされても、常に(2009+X)年4月1日まで有効なSSL証明書に更新されることになります。

Q. 稼働中のSSL証明書の有効期限が過ぎてしまいました。更新できますか?

有効期限が過ぎてから30日以内であれば更新手続きが可能です。
それ以降の場合は、新規発行扱いとなります。

Q. SSL証明書は有効期限が切れるとどうなるのですか?

ブラウザによる「SSL証明書は有効期限が切れています」の警告メッセージが表示され、ブラウザによっては一切閲覧できなくなります。

Q. 稼働中SSL証明書を発行する際生成した過去のCSRを再利用できますか?

更新時には、お客様サイトからの情報漏えいを防ぐため、CSRの再生成(秘密鍵の再生成により)を必ず実施してください。これは、PC等ログインパスワードを定期的に変更すること以上に重要な要件であることを肝に銘じてください。

Q. 発行済みSSL証明書の再発行は可能ですか?

EV SSLを除き、有効期間中無制限に可能です。ただし、秘密鍵(CSR)の変更を伴う場合は、再発行ではなく、リキー処理となります。

Q. 秘密鍵のリキー(CSRの変更)をした上で再発行することは可能ですか?

はい、発行済証明書の有効期間中無制限に可能です。 証明書申請時に使用した秘密鍵の変更、使用すべきCSRの選択誤り(過去に使用済みのCSRとの取り違え等)があった際にご利用頂ける他、Twin Root(双子ルート)オプションもリキー処理により行えます。詳しくは弊社までお問い合わせください。

注意事項1
秘密鍵のリキーに伴い、CSRを変更(再生成)いただく際、鍵長やルート証明書(Twin Rootオプション)の変更は可能ですが、証明書利用者(申請者)のドメイン名(コモンネーム)含め識別名(ディスティングウィッシュネーム情報)を変更することはできません。
注意事項2再発行証明書の納品日時が読めない場合があります!

通常リキー再発行には認証手続きは不要ですが

  • 【1】過去1年を超えて認証手続きがなされていない場合や、
  • 【2】コモンネームになりすましサイトに多用される文言(facebook, google, Microsoft, Bank, finance等)が含まれている場合等

米国認証局判断で、発行審査(ドメイン認証・組織認証・EV認証)をフルに再実施することがあります。

この場合、想定以上に証明書の再発行に時間を要することがありますのでご注意ください。(前回認証手続き後に組織名や登録住所に異動がある場合には、リキーではなく、改めて「新規」ライセンスをご購入頂くことになりますのでご承知おきください。)

リキーにより証明書が再発行された場合、その時点から「72時間」で再発行前の証明書が自動失効します!

従い、それまでにサーバ上での新旧証明書の「置き換え」を完了する必要があります。

新旧証明書置換の「タイムラグ」を最少化することは、過去事例 からも極めて重要であり、数十台規模のサーバで稼働する同一証明書は、敢えて秘密鍵を複数に冗長化し(別途ライセンス購入が必要です)、リスクを分断することが合理的です。

リキー再発行ではなく、別途新規取得をお願いする場合があります!

大規模システムの複数サーバ上で単一証明書を共用されているお客様で、多数人員を夜間等に配し実施される証明書置換作業を抜かりなく完了させるためは、再発行前証明書が自動失効してしまう「リキー」ではなく、現行証明書に一切影響を与えない「新規ライセンス」の別途ご購入をお薦めします。

Q. SSL証明書の失効はできますか?

有効期間中いつでも可能です。但し、一旦失効されたSSL証明書は2度と再利用することができませんのでご注意ください。

Q. SSL証明書の有効期間中にサーバ変更/移設を行うことになりました。

原則、秘密鍵をエクスポートできるサーバから、SSL証明書及び秘密鍵のペアをインポートできるサーバへの変更・移設は可能です。

ジェイサートではサポートしておりませんので、詳しくは各製品のアプリケーションマニュアルか開発元・販売元にお問い合わせください。

お客様の参考資料として、Apache、Microsoft IIS における秘密鍵のエクスポート、SSL証明書及び秘密鍵のインポートに関する手順につきガイドを用意しております。詳細はこちら。

Q. 証明書利用者の登録情報が変更になりました。

証明書のクラス(認証レベル)に関わらず、発行済証明書の更新においては、ご担当者氏名や部署名等の登録済申請情報の変更が可能です。

ただし、証明書発行先組織の組織名あるいは登録住所に変更あった場合には、証明書のクラス(認証レベル)に関わらず、更新はできません。改めて、新規にてご申請頂きます。この場合、現行証明書の更新とは違い、有効期限は引き継がず、発行日からジャスト1年(あるいは、2年/3年)となります。

Q. SSL証明書及び秘密鍵のバックアップ(エクスポート)、インポートの方法について。

ジェイサートではサポートしておりませんので、詳しくは各製品のアプリケーションマニュアルか開発元・販売元にお問い合わせください。

お客様の参考資料として、Apache、Microsoft IIS 6以降における秘密鍵のエクスポート、SSL証明書及び秘密鍵のインポートに関する手順につきガイドを用意しております。詳細はこちら。

Q. 現在利用中のSSL証明書はいつ失効する?(イベント別:更新、リキー、再発行、マルチドメイン入替)

現在利用中のSSL 証明書はイベント別に以下のタイミングで失効しますので、新しい証明書のインストールは、必要に応じ、お客様のサービスに影響の出ない時間帯(営業時間外など)に行うようご留意ください。

更新時 更新処理により新たなSSL証明書が発行されましても、現在利用中のSSL 証明書の有効期間内であれば継続利用頂けますので、その有効期限内に余裕をもって更新証明書との置換を完了してください。
再発行時
(EV SSLのみ)
EV SSL再発行による新しいSSL証明書が発行されてから「72時間」経つと、現在利用中のSSL証明書は失効(クライアントPC側でエラーとなります)されますので、それまでにサーバ上での新旧証明書の「置き換え」を完了する必要があります。
リキー時 リキーによる新しいSSL証明書が発行されてから「72時間」経つと、現在利用中のSSL証明書は失効(クライアントPC側でエラーとなります)されますので、それまでにサーバ上での新旧証明書の「置き換え」を完了する必要があります。
マルチドメイン入替時 付帯ドメインの入替や追加による新しいSSL証明書が発行されてから「72時間」経つと、現在利用中のSSL証明書は失効(クライアントPC側でエラーとなります)されますので、それまでにサーバ上での新旧証明書の「置き換え」を完了する必要があります。

Q. 更新時にマルチドメイン証明書の付帯ドメインを追加・入替するには?

更新処理時は、付帯ドメイン内容の変更はできません。まずは、そのまま更新し、その後更新証明書に対し付帯ドメイン異動(追加・入替)を実施、という2Stepになります。

現在御利用中の証明書は、いつ更新処理を実施しようと、その有効期間一杯そのまま利用頂けますので、まずは、現行の付帯ドメイン構成のまま更新発行の対応をおこなってください。

その後、更新証明書の付帯ドメインを異動(追加・入替)するため、更新したばかりの証明書の再発行を行います。付帯ドメインの異動(追加・入替)については、予め所定の書面を認証グループまでご提出ください。

なお、付帯ドメインの上限枠数の増加は、更新処理時の「商品選択」により、行う事ができます。

FAQ一覧へ戻る