Webサイトのセキュリティを強化するために欠かせないのがSSL証明書です。SSL証明書を適用することで、通信が暗号化され、ユーザーの個人情報やパスワードなどの重要なデータを安全にやり取りできます。しかし、SSL証明書には有効期限があり、期限が切れるとWebサイトが「安全でない」と表示されたり、HTTPS接続ができなくなったりする可能性があります。
本記事では、SSL証明書の更新手順について詳しく解説します。証明書の種類ごとの違いや、更新前の準備、サーバーへの適用方法、更新後の確認手順まで、実際の手順に沿って説明します。SSL更新に不安がある方や、手順を明確に理解したい方は、ぜひ参考にしてください。
SSL証明書の種類と更新方法の違い
SSL証明書にはいくつかの種類があり、証明書の種類によって更新方法や認証手順が異なります。適切な更新手順を理解するために、まずは代表的なSSL証明書の種類と、それぞれの更新時のポイントを確認しましょう。
ドメイン認証(DV)証明書
- 最も基本的なSSL証明書で、ドメインの所有者であることを認証するものです。
- 更新時には、メール認証やDNSレコードを使った認証が必要になる場合があります。
- 発行が比較的早く、手続きもシンプルです。
企業認証(OV)証明書
- ドメイン認証に加えて、企業の実在性を認証する証明書です。
- 更新時には、会社の発行情報や連絡先の確認が必要になることがあります。
- 一般的に発行までに数日かかるため、早めの更新手続きが推奨されます。
EV(拡張認証)証明書
- 企業認証よりも厳格な審査が行われる証明書で、企業の信頼性を強くアピールできます。
- 更新時も新規発行時と同じく、企業の詳細な審査が必要になります。
- 手続きが複雑なため、更新は余裕をもって進める必要があります。
ワイルドカード証明書
- 1つの証明書で同一ドメイン配下のすべてのサブドメイン(例:
*.example.com)を保護できる証明書です。 - 更新手順はDV証明書とほぼ同じですが、証明書を適用するすべてのサーバで更新作業を行う必要があります。
SSL証明書の更新方法の違い
- DV証明書は簡単な手続きで更新できるが、OV、EV証明書は企業情報の確認が必要
- ワイルドカード証明書やマルチドメイン証明書は、適用範囲を考慮した更新作業が必要
- 証明書の発行元(CA)によって手続きが異なるため、事前に確認が必要
更新前の準備
SSL証明書の更新をスムーズに進めるためには、事前にいくつかの確認と準備が必要です。ここでは、SSL証明書を更新する前に行うべき重要なチェックポイントを解説します。
現在の証明書の有効期限を確認する
SSL証明書には有効期限が設定されており、期限が切れるとHTTPS通信ができなくなるため、事前に確認が必要です。
確認方法(サーバ側)
Linuxサーバ上でopenssl コマンドを使用して確認できます。
openssl x509 -enddate -noout -in /etc/ssl/certs/example.crt出力例
notAfter=May 10 12:00:00 2025 GMTこの場合、2025年5月10日が有効期限となります。
確認方法(ブラウザから)
- ChromeなどでSSL証明書を確認したいサイトを開く
- アドレスバーの鍵アイコンをクリック
3. 「証明書の詳細」または「証明書を表示」から有効期限を確認
どの認証局(CA)で証明書を取得したか確認する
SSL証明書は、Let’s Encrypt、DigiCert、GlobalSign、Sectigo などの認証局(CA)によって発行されています。更新時には、同じCAの管理画面から手続きを行う必要があるため、事前に証明書発行元を確認しましょう。
確認方法(サーバ側)
openssl x509 -issuer -noout -in /etc/ssl/certs/example.crt出力例
issuer=CN = Let's Encrypt Authority X3この場合、Let’s Encryptで発行された証明書であることがわかります。
秘密鍵(Private Key)が手元にあるか確認する
SSL証明書をサーバーに適用する際、秘密鍵(Private Key) が必要になります。秘密鍵は証明書発行時に作成され、通常は以下のディレクトリに保存されています。
/etc/ssl/private//etc/nginx/ssl//etc/httpd/ssl/
秘密鍵を誤って削除してしまった場合、新たにCSR(証明書署名要求)を作成し、証明書を再発行する必要があります。
SSL証明書の更新手順
SSL証明書の更新は、大きく分けて以下の3つのステップで進めます。
- 証明書の再発行または新規発行手続き
- 新しい証明書の取得
- サーバーへの適用
それぞれの手順について詳しく解説していきます。
証明書の再発行または新規発行手続き
SSL証明書を更新する際、多くの認証局(CA)では「証明書の再発行」または「新規発行」と同じ手続きが求められます。以下の手順で更新を進めます。
証明書の管理画面にログイン
利用している認証局(CA)の公式サイトにアクセスし、アカウントにログインします。
(例:Let’s Encrypt、DigiCert、GlobalSign、Sectigo など)
CSR(証明書署名要求)を作成(必要な場合)
一部の認証局では、新しい証明書を取得する際にCSR(Certificate Signing Request)が必要になります。CSRを作成するには以下のコマンドを使用します。
openssl req -new -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csrこのコマンドを実行すると、ドメイン名や組織情報を入力するプロンプトが表示されるので、正しく入力してください。
CSRの作成方法は下記の記事で詳しく解説しています。こちらもぜひご覧ください。
新しい証明書の取得
ドメインの所有権が確認されると、新しいSSL証明書の発行が完了します。認証局の管理画面から、以下のファイルをダウンロードしましょう。
✅ サーバー証明書(.crt または .pem)
✅ 中間証明書(CA Bundle)(ca-bundle.crt など)
サーバーへの適用
新しい証明書をダウンロードしたら、サーバーの設定を更新して適用します。
証明書ファイルを適切なディレクトリに配置
通常、SSL証明書のファイルは以下のようなディレクトリに配置されます。
/etc/ssl/certs/example.com.crt
/etc/ssl/private/example.com.key
/etc/ssl/certs/ca-bundle.crtWebサーバの設定を変更
🔹 Apache の場合(httpd.conf または ssl.conf)
Apacheを使用している場合、設定ファイルを開いて新しい証明書のパスを指定します。
<VirtualHost *:443>
SSLEngine on
SSLCertificateFile /etc/ssl/certs/example.com.crt
SSLCertificateKeyFile /etc/ssl/private/example.com.key
SSLCertificateChainFile /etc/ssl/certs/ca-bundle.crt
</VirtualHost>設定を保存したら、Apacheを再起動します。
systemctl restart apache2 # Debian/Ubuntu
systemctl restart httpd # CentOS/RHEL🔹 Nginx の場合(nginx.conf または site-available/default)
Nginxを使用している場合、以下のように設定します。
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/ssl/certs/example.com.crt;
ssl_certificate_key /etc/ssl/private/example.com.key;
ssl_trusted_certificate /etc/ssl/certs/ca-bundle.crt;
}設定を保存後、Nginxを再起動します。
systemctl restart nginx設定が正しく適用されたか確認
設定が完了したら、以下の方法で証明書が適用されているか確認します。
✅ ブラウザでHTTPSアクセスし、証明書を確認
✅ 以下のコマンドを実行して、証明書情報を取得
openssl s_client -connect example.com:443 -servername example.com✅ オンラインのSSLチェッカーを利用(例:SSL Labs)
まとめ
本記事では、SSL証明書の更新手順について詳しく解説しました。適切に更新作業を行うことで、セキュリティを維持し、HTTPS通信を安全に運用することができます。
SSL証明書の更新を適切に行い、安全なWebサイト運用を継続しましょう!
コメント