導入に関して(FAQ)
導入全般に関して
- 実際に導入するとなりますといくら費用がかかるのでしょうか。
- 個人でも可能なのでしょうか。
- サーバ管理者アドレスをadmin@以外のものにしたいのですが。
- 独自ドメイン名以外のコモンネーム(FQDN)でも利用できますか。
- コモンネームについて教えてください。
- ポート番号とは何ですか。
- 日本語ドメイン名には対応していますか。
- CAAレコードに対応していますか。
導入作業中に関して
必要なライセンス数の考え方
導入前の技術的なご質問に関して
- 導入に際して必要なことはありますか。
- 複数のドメインを1つの証明書で登録できますか。
- 1台のウェブサーバで複数のウェブサイトを立ち上げようとしております。
- 注文フォームだけをSSLで暗号化し、お客様に安心を与えたいと思います。SSLで暗号化するにはフォームのページを作り変える必要があるのでしょうか。
- 証明書発行手続きの際に、グローバルIPアドレスの情報は、必要でしょうか。IPアドレス未定の段階で申請できますか。
- 1台のウェブサーバで、xxxx.jpとwww.xxxx.jpを運用しています。これは同じページで公開しています。この場合は、2つのサーバ証明書を購入するのですか。
- Webサーバ GlassFish で使用することはできますか。
- 4D Server で中間証明書をインストールする方法
- 富士通 IPCOM EX シリーズに対応していますか。
- バラクーダネットワークス社の Barracuda Load Balancer、Barracuda Web Application Firewall に対応していますか。
- コヨーテポイントシステムズ社の Equalizer GXシリーズ に対応していますか。
- ラドウェア社のAppDirector/AppXcel/Alteonに対応していますか。
- [クラウド] Amazon Elastic Compute Cloud(EC2)で利用できますか。
- [クラウド] rackspace cloudserversで利用できますか。
- [クラウド] TrueCLOUD byGMOで利用できますか。
- [クラウド] NIFTY Cloudで利用できますか。
- [クラウド] ホワイトクラウド シェアードHaaSで利用できますか。
- [クラウド] Microsoft Windows Azureで利用できますか。
導入全般に関して
実際に導入するとなりますといくら費用がかかるのでしょうか。
ウェブサイト上でご案内している価格以外に費用は発生いたしません。
ホスティングをご利用の場合には、ホスティングサービスに対する費用が別料金に設定されている場合がありますので、ホスティングサービス業者様へお問い合わせください。
個人でも可能なのでしょうか。
KingSSLは、ドメイン認証となります。
企業の実在認証を外しておりますので、個人様でもご導入いただけます。
サーバ管理者アドレスをadmin@以外のものにしたいのですが。
弊社申し込み画面で、以下に該当するアドレスの候補よりご選択いただくことが可能です。
※お申込み時の選択画面に出てきたメールアドレスがご利用可能です。
- admin@コモンネームまたはコモンネームで使用されているドメイン名
- administrator@コモンネームまたはコモンネームで使用されているドメイン名
- hostmaster@コモンネームまたはコモンネームで使用されているドメイン名
- postmaster@コモンネームまたはコモンネームで使用されているドメイン名
- webmaster@コモンネームまたはコモンネームで使用されているドメイン名
なお、管理者確認メールの受信ですが、このために特にメールサーバの構築やPOPアカウントを設置していただく必要はございません。
管理者確認のためのメールと、証明書ファイルを受信するためのメールを受け取るために一時的に有効であれば良いので、例えばエイリアス等で普段お使いのメールアドレスに転送する、といった手法でも問題ございません。
DNS TXTレコードの登録メールアドレス
DNS TXTレコードに任意のメールアドレスを登録することで、承認メールアドレス選択画面上に当該メールアドレスが表示され、お客様が選択できるようになります。 メールアドレスご登録の際は、審査対象ドメインのサブドメイン(ホスト名)に、弊社指定の文字列「_validation-contactemail」のご入力が併せて必要となります。
認証するのが 〇△〇 .com の場合
例1: _validation-contactemail IN TXT 〇〇〇@〇〇〇.com
認証するのが、△△.〇〇〇.com の場合
例2: _validation-contactemail.△△ IN TXT 〇〇〇@〇〇〇.com
※www.で始るコモンネームで、デュアルアクセス対応をご希望の場合は、例1の方法で対応下さい。
※当該DNSが、弊社より参照できる状態であることをご確認ください。
DNS SOAレコードの登録メールアドレス
DNS SOAレコードに任意のメールアドレスを登録することで、承認メールアドレス選択画面上に当該メールアドレスが表示され、お客様が選択できるようになります。
例: RNAME 〇〇〇.〇〇〇.com
(RNAMEに登録された値が、メール認証選択時に表示されるメールアドレスとなります。)
※SOAレコード上の表記では1つ目のドットはアットマークの扱いとなります。
※DNSサーバにメールアドレスを設定された場合、場合によっりましては、反映に24時間程度の時間が掛かる場合がございます。詳細はご利用のDNSサーバ管理者様へご確認下さい。
※当該DNSが、弊社より参照できる状態であることをご確認ください。
Whois登録のメールアドレスに関しましては、こちらをご覧下さい 。
※お申込み時の選択画面に出てきたメールアドレスがご利用可能です。
※DNSサーバにメールアドレスを設定された場合、場合によっりましては、反映に24時間程度の時間が掛かる場合がございます。詳細はご利用のDNSサーバ管理者様へご確認下さい。
ご選択いただきましたメールアドレスへ管理者確認メールを送信いたしますので、その中にありますURLをクリックしますと、申込情報が記載されてあり、最後に「I approve」「I do not approve」の二つのボタンがございます。
問題ないようでしたら、「I approve」のボタンをクリックしていただけますと、ご選択いただいたメールアドレス宛てにサーバ証明書が送信されます。
独自ドメイン名以外のコモンネーム(FQDN)でも利用できますか。
KingSSLは、ドメイン認証のSSLサーバ証明書になりますので、コモンネームに一般的なドメイン名以外の、例えば、イントラネット専用のサーバ名のみ(.local)等への証明書発行はできません。
IPアドレスをコモンネーム(FQDN)に利用した証明書発行もできません。
独自ドメインをコモンネーム(FQDN)にご利用いただく必要がございます。
コモンネームについて教えてください。
●サーバ証明書のコモンネーム(Common Name、一般名)は、CSRを生成する際に入力する項目で、
ブラウザでサーバにアクセスする際に入力するURL(FQDNまたはIPアドレス)が該当いたします。
例)
URL→ https://www.kingssl.com/contact/index.html
コモンネーム→ www.kingssl.com
※ワイルドカードの場合は「*.kingssl.com」となります。
ポート番号とは何ですか。
ポート番号は、コンピュータで、実際に通信される出入口の番号です。
URLやIPアドレスが住所のようなもので、その家には玄関がいくつもあるとイメージしてください。
各玄関には番号が振られています。これがポート番号です。
これらのポート番号のうち、特定のプロトコルで使用するように決められているものがあります。
これをウェルノウンポートと呼びます。
※プロトコル=通信をする際にあらかじめ決められた約束事。
ウェルノウンポートの例
プロトコル ポート番号
HTTP 80番
SMTP 25番
POP 110番
HTTPS 443番
SSLの通信では、HTTPSの443番ポートを利用します。
URLでサイトに接続する際、原則としてドメイン名の後に:(コロン)を付けてポートを指定する必要が
ありますが、ウェルノウンポートであればそれを省略することができます。そのため、一般的なウェブ
サイトのURLにはポート番号がついていません。
以下の2つのURLは同じところを指します。
KingSSLのトップページ
http://www.kingssl.com:80/
http://www.kingssl.com/
サイト閲覧者の環境の中には、セキュリティ上の理由などから443番ポート以外でSSL通信が行えないように制限している場合があります。
もしお客様のサイトが、10443番ポートでSSL通信をするようサーバを設定していて、閲覧者が10443番ポートの使用を制限されている場合、その閲覧者からはお客様のサイトにたどりつけません。
お客様のサイトがショッピングサイトであれば、その分販売の機会を失うことになります。
そのため、SSLの通信には、ウェルノウンポートである443番ポートのご利用をお勧めしています。
日本語ドメイン名には対応していますか。
日本語のドメイン名(IDN:Internationalized Domain Name)は、DNSで名前解決をするため、PUNYコードという文字列に変換・符号化されます。この「PUNYコード」で証明書を発行することによってSSLをご利用いただくことは可能です。
お名前.com → xn--t8jx73hngb.com
IDN Conversion Tool
http://punycode.jp/
CAAレコードに対応していますか。
KingSSLでは、既にCAA (Certificate Authority Authorization)レコードに対応しています。
DNSリソースレコード特定のドメイン名に対して、どのCAが証明書を発行できるのかを制限するPKI環境でのセキュリティ強化となります。
CA/ブラウザフォーラムではBallot187により、加盟CAベンダーに対して、2017年9月8日以降は証明書の発行時に誤発行を防ぐ目的でCAAレコードを確認することを義務付けました。
DNSドメイン名所有者はCAAレコードにホスト名と1つ以上の認証局を登録することで、そのホスト名の証明書を発行する認証局を限定し、登録されていないCAは証明書の発行が行えなくなります。何も設定がされていない場合は、どの認証局でも証明書を発行することができます。
設定例は、こちらのページをご参照下さい。
※2017年8月28日に対応済みです。
導入前の技術的なご質問に関して
導入に際して必要なことはありますか。
特にございませんが、お客様のお使いのサーバが、独自ドメインでのSSLが利用可能であるかは、事前にご確認ください。
CSRを生成及びインストールのための、ウェブサーバに対する管理者アクセス権限と、本人確認のための<admin@ドメイン名或いはサーバ名>のメールアドレスを受信できる権限があれば、お手続きいただけます。
複数のドメインを1つの証明書で登録できますか。
SSLサーバ証明書は、一つの証明書で一つのコモンネーム(サーバ名)だけを証明します。したがいまして、複数のコモンネームの証明が必要な場合には、その数だけ証明書をお申し込みいただく必要がございます。 一台のウェブサーバで複数のサイトを構成している場合、サブドメイン側のURLでアクセスすると「証明しているサーバ名と違います」というような警告がブラウザに表示されてしまいます。
1台のウェブサーバで複数のウェブサイトを立ち上げようとしております。
1台のウェブサーバで複数のウェブサイトにサーバ証明書を発行する際、それぞれのウェブサイトにIPアドレスが必要です。IPアドレス割当てのないバーチャルなドメインに対しては、個別のSSLサーバ証明書はご利用いただけません。IPアドレスが割当てられているサイトのコモンネーム(サーバ名)でご利用ください。(つまり、IPアドレス1つに対して1つのSSLサーバ証明書が利用可能です。)
これは、ウェブサーバの構造的な仕様によるもので、ホスティング業者様によるサービスや、SSLサーバ証明書ベンダを問わず、この制約はございます。ただIPアドレスが一つしかない場合でも、デフォルトではないポート番号を利用すれば各コモンネーム毎にSSLの設定は可能ですが、サーバにアクセスするユーザ側の環境によっては問題が発生する場合もありますので、広く一般に公開するような用途のウェブサーバの場合にはお勧めできません。設定方法に関してはサーバにより異なりますので、サーバベンダ・ホスティング業者様へお問い合わせください。
注文フォームだけをSSLで暗号化し、お客様に安心を与えたいと思います。SSLで暗号化するには、フォームのページを作り変える必要があるのでしょうか。
注文フォームのみSSLでセキュアにしたいということであれば、フォームに繋がるリンクの指定をhttps://で指定し、フォームが終了した先のリンクをhttp://に戻るように指定すればよろしいかと思います。 現在のフォームを変更する必要はありませんが、URLの指定によってはアンカー部分のHTMLを手直しする必要があるかも知れません。
証明書発行手続きの際に、グローバルIPアドレスの情報は必要でしょうか。IPアドレス未定の段階で申請できますか。
サーバ証明書の証明する内容には、IPアドレスの情報は含まれておりません。CSRを生成した際にも含まれておりません。
よって、IPアドレスのない段階でCSRの生成までは進めていただけますが、管理者メールアドレスに届くメールを受信して承認する作業が必要ですので、DNSが引けてメールが届く必要がございます。
1台のウェブサーバで、xxxx.jpとwww.xxxx.jpを運用しています。これは同じページで公開しています。この場合でも2つのサーバ証明書を購入するのですか。
同じウェブサーバで同じコンテンツでも、ブラウザからアクセスされるURLとしては “別のサイト”となります。ただし、アルファSSLは、デュアルアクセス対応ですので、コモンネームが「www.+ドメイン名」 の構成 で、以下の表にある認証方法に該当する場合のみ、ドメイン名のみでもご利用可能です。
ホスト名がwww.以外である場合は、別々のサイトとして2つお申し込みいただくか、ワイルドカードのオプション契約の必要がございますのでご注意ください。
<例:>
コモンネーム:www.kingssl.com
接続可能URL:https://www.kingssl.com/ および https://kingssl.com/
コモンネーム:shop.kingssl.com
接続可能URL:https://shop.kingssl.com/
コモンネーム:www.shop.kingssl.com
接続可能URL:https://www.shop.kingssl.com/
※www. 無しのアドレスは、携帯電話の機種によってはアクセスができない場合があります。
【具体例】
| 認証方法 | 認証に利用するアドレス | デュアルアクセス対応有無 |
|---|---|---|
| メール認証 | admin@www.example.com | × |
| admin@example.com | ○ | |
Webサーバ GlassFish で使用することはできますか。
GlassFishは、JavaのKeystoreファイルで鍵を管理していますので、以下マニュアルの手順にてCSR生成、証明書のインストールを行っていただくことでご利用可能です。
[インストール] Keytool (新規・更新)
デフォルトで読み込まれるJKSファイルは、config内のkeystore.jksです。
例:domain1 というサイトの場合
インストールディレクトリ/domains/domain1/config/keystore.jks
なお、デフォルトのパスワード changeit 以外をご利用になる場合、別途設定が必要となります。
詳しくは関連サイトや、製品サポートにてご確認ください。
How to change the Keystore Password
http://weblogs.java.net/blog/kumarjayanti/archive/2007/11/ssl_and_crl_che.html#4
4D Server で中間証明書をインストールする方法
4D Serverでの中間証明書のインストール方法について、以下の情報が公開されております。
証明書と続けて中間証明書を記載することで対応可能なようですので、お試しください。
証明書チェーンに対応する方法
http://tech.4d-japan.com/Tips/1260/
より詳細な情報につきましては、製品サポートにご確認ください。
富士通 IPCOM EX シリーズに対応していますか。
はい、ご利用いただけます。開発元にて動作検証済みです。
http://fenics.fujitsu.com/products/ipcom/catalog/faq/ipcomex_faq_qa1.html#ssl-6
富士通 IPCOM EX シリーズの詳細については、下記のサイトをご確認ください。
http://fenics.fujitsu.com/products/ipcom/
バラクーダネットワークス社の Barracuda Load Balancer、Barracuda Web Application Firewall に対応していますか。
はい、ご利用いただけます。
コヨーテポイントシステムズ社の Equalizer GXシリーズ に対応していますか。
はい、ご利用いただけます。
コヨーテ・ポイント社 Equalizerの詳細については、下記のサイトをご確認ください。
http://www.networld.co.jp/coyote/main.htm
ラドウェア社のAppDirector/AppXcel/Alteonに対応していますか。
はい、ご利用いただけます。
Radware社の各製品の詳細については下記のサイトをご確認ください。
http://www.radware.co.jp/product/index.html
[クラウド] Amazon Elastic Compute Cloud(EC2)で利用できますか。
OSをルート権限で操作できるので、サーバ証明書を設定するサーバアプリケーションがインストールされていればご利用いただけます。
[クラウド] rackspace cloudserversで利用できますか。
弊社で直接の確認は取れておりませんが、OSをルート権限で操作できるので、サーバ証明書を設定するサーバアプリケーションがインストールされていればご利用いただけます。
詳細につきましては、以下のURLをご参照ください。
Apacheをご利用の場合
http://cloudservers.rackspacecloud.com/index.php/Installing_an_SSL_certificate
IISをご利用の場合
http://cloudservers.rackspacecloud.com/index.php/Setting_up_SSL_in_IIS_7.0
[クラウド] TrueCLOUD byGMOで利用できますか。
弊社で直接の確認は取れておりませんが、OSをルート権限で操作できるので、サーバ証明書を設定するサーバアプリケーションがインストールされていればご利用いただけます。
http://www.truecloud.jp/service/function/function03.html
[クラウド] NIFTY Cloudで利用できますか。
弊社で直接の確認は取れておりませんが、OSをルート権限で操作できるので、サーバ証明書を設定するサーバアプリケーションがインストールされていればご利用いただけます。
[クラウド] ホワイトクラウド シェアードHaaSで利用できますか。
弊社で直接の確認は取れておりませんが、OSをルート権限で操作できるので、サーバ証明書を設定するサーバアプリケーションがインストールされていればご利用いただけます。
[クラウド] Microsoft Windows Azureで利用できますか。
動作確認が取れております。以下URLの設定手順で検証いたしました。
http://blogs.msdn.com/b/jnak/archive/2009/12/01/how-to-add-an-https-endpoint-to-a-windows-azure-cloud-service.aspx
導入作業中に関して
承認メールが届きません。
メールソフトから送信テストを行ってみてください。
- メールソフトからは届く場合
www.xxxx.comというホストをDNSに登録されたのは最近のことでしょうか。プロパゲーション期間という可能性はございませんか。
または、DNSに特別な設定をされているということはないでしょうか。 - 届かない場合
お客様のドメインあるいはメールサーバの設定に問題があるようですので、再度ご確認くださいますようお願いいたします。
メールの再送をご希望の場合は、お問い合わせフォームよりご依頼ください。
必要なライセンス数の考え方
サーバ証明書のライセンス認証について。
KingSSLのライセンスは、フリーです。「同一のサーバ証明書を、同時に複数のサーバにおいてご利用いただいても、料金は、一切かかりません。「ラウンドロビン」、「キャッシュ・サーバ」等を構成する複数のサーバにおいても、同一のサーバ証明書をご利用いただく事が可能です。
