ファイル認証SSL トラブルシューティング
このマニュアルでは、
ファイル認証SSLに関するトラブルシューティングについてご案内しています。
ファイル認証ってなに?
『ファイル認証』とは、
認証ファイル (※1) が申請対象のFQDN(コモンネーム)配下に配置(アップロード)されたことを認証局が検知 (※2) すると、SSL証明書が発行される仕組みです。
ファイル認証対象サービス
JPRS ドメイン認証型 ジオトラスト ラピッドSSL・クイックSSLプレミアム
※JPRS ドメイン認証型で、サーバコントロールパネルより
お申し込みの場合、認証ファイルは自動的にアップロードされます。
認証ファイルをアップロードしたのに証明書が発行されません。
お客様にて認証ファイルをアップロード後、
証明書が発行されない場合は問題が発生している可能性がございます。
秘密鍵の削除や、申込み直しは行わず、以下をご確認ください。
JPRS
正しい場所に認証ファイルがアップロードされていない。
申請対象のFQDN(コモンネーム)配下に再度認証ファイルを配置してください。
■アップロード先
http://申請したFQDN/.well-known/pki-validation/ランダムな文字列.txt
または
https://申請したFQDN/.well-known/pki-validation/ランダムな文字列.txt
www.example.com(例)のFQDNで申請を行った場合の設定方法
コモンネームをwww.example.com(例)で申請した場合でも、
wwwを取り除いたURLで認証ファイルの確認ができないと認証されません。
http://example.com/.well-known/pki-validation/[ランダムな文字列].txt https://example.com/.well-known/pki-validation/[ランダムな文字列].txt |
「www+ルートドメイン」のみのURLで、サイトを公開されている方は、
証明書が発行されるまでの間、上記形式のURLでも認証ファイルが
確認できるよう設定をお願いします。
購入したJPRS SSLの種類により対応方法が異なりますので以下をご確認ください。
なお、申請コモンネームがexample.comの場合は対応の必要はありません。
- さくらのレンタルサーバでご利用の場合
ドメイン設定をご確認ください。
example.comの「マルチドメイン(推奨設定)」になっており、
example.comのURLが閲覧可能であれば発行は可能です。
www.example.comの「マルチドメイン(上級者設定)」になっている場合は、
認証が完了しません。
この場合、サーバコントロールパネルでexample.comでドメインを追加し
・「マルチドメイン(推奨設定)」に設定
・www.example.comと同じパスを設定(設定している場合のみ)
・必要に応じ証明書をインストール
・www.example.com のドメイン設定を削除の後、弊社へご連絡ください。
再手続きについてご案内いたします。
example.comのドメインがさくらのレンタルサーバに設定されていない場合は、
お使いのネームサーバマニュアル等を参照し、NSレコードを編集してください。
詳しくは他社で取得・管理中のドメインを利用をご確認ください。
- さくらのレンタルサーバ以外のサーバでご利用の場合
さくらのレンタルサーバ以外で利用する場合は、
www.example.com と example.com の両方に認証ファイルを設置し、閲覧可能にする必要があります。
認証ファイルをアップロードしているサーバと、
参照先サーバが異なってジオトラストが認証できない。
正しく認証ファイルをアップロードされても、実際のアクセス先が異なると認証できません。
認証ファイルアップロード先のサーバを参照するよう設定してください。
サーバにアクセスできない状態(アクセス制限・ベーシック認証など)
アクセス制限を設定している場合、認証することができません。
アクセス制限を解除してください。
サーバが起動していない・ダウンしているなどの状態
サーバが正常に起動していない場合、認証できません。
サーバ状況をご確認いただきますようお願いします。
サイトが公開されていない状態
外部からアクセスできない場合、認証できません。
サイトを公開してください。
認証ファイルが削除されている状態
再度会員メニューより認証ファイルをダウンロードのうえ、
申請対象のFQDN(コモンネーム)配下にアップロードしてください。
アップロード先
http://申請したFQDN/.well-known/pki-validation/ランダムな文字列.txt
または
https://申請したFQDN/.well-known/pki-validation/ランダムな文字列.txt
※「/.well-known/pki-validation/」のフォルダは、お客さまにて作成してください。
認証ファイルへのアクセスが拒否されている
.htaccessにおいて、セキュリティ上の理由などからファイルへの直接アクセスを拒否している場合、
一時的に.txtのファイルへのアクセスを許可するように設定を変更してください。
例).htaccessにおいて、ファイルへの直接アクセスを拒否するために
以下のような設定を行っている場合は、「txt」の部分を削除してください。
<FilesMatch “\. (ini\.php|lng\.php|txt|gz|tgz)$”>
Order allow,deny
Deny from all
</FilesMatch>
認証ファイルはサーバ上に存在するが、ブラウザでアクセスできない
.htaccessにおいて、
以下のようなリダイレクト処理を入れている場合、認証ファイルを確認できません。
RewriteEngine on
RewriteRule (.*) http://追加ドメイン/サブディレクトリ/$1 [R=301,L]
認証ファイルへのクロールを有効にするため、以下のように変更してください。
RewriteEngine on
RewriteCond %{REQUEST_URI} !=/.well-known/pki-validation/ランダムな文字列.txt ←この行を挿入
RewriteRule (.*) http://追加ドメイン/サブディレクトリ/$1 [R=301,L]
デジサート
正しい場所に認証ファイルがアップロードされていない。
申請対象のFQDN(コモンネーム)配下に再度認証ファイルを配置してください。
■アップロード先
http://申請したFQDN/.well-known/pki-validation/fileauth.txt
または
https://申請したFQDN/.well-known/pki-validation/fileauth.txt
※「/.well-known/pki-validation/」のフォルダは、お客さまにて作成してください。
www.example.com(例)のFQDNで申請を行った場合の設定方法
2017年12月1日にラピッドSSLの仕様変更が行われたため、
www.example.comでSSL証明書の発行申請を行った場合、
example.comのFQDNでもファイル認証が必要になりました。
なお、申請コモンネームがexample.comの場合は対応の必要はありません。
- さくらのレンタルサーバでご利用の場合
ドメイン設定をご確認ください。
example.comの「マルチドメイン(推奨設定)」になっており、
example.comのURLが閲覧可能であれば、ラピッドSSL発行は可能です。
www.example.comの
「マルチドメイン(上級者設定)」になっている場合はドメイン設定の追加が必要です。
ドメインの新規追加からexample.com のドメイン設定を追加し、
「マルチドメイン(上級者設定)」に設定してください。
example.comのドメインがさくらのレンタルサーバに設定されていない場合は、お使いのネームサーバマニュアル等を参照し、NSレコードを編集してください。
詳しくは他社で取得・管理中のドメインを利用をご確認ください。
- さくらのレンタルサーバ以外のサーバでご利用の場合
さくらのレンタルサーバ以外で利用する場合は、
www.example.com と example.com の両方に認証ファイルを設置し、閲覧可能にする必要があります。
認証ファイルをアップロードしているサーバと、
参照先サーバが異なってジオトラストが認証できない。
正しく認証ファイルをアップロードされても、実際のアクセス先が異なると認証できません。
認証ファイルアップロード先のサーバを参照するよう設定してください。
サーバにアクセスできない状態(アクセス制限・ベーシック認証など)
アクセス制限を設定している場合、認証することができません。
アクセス制限を解除してください。
サーバが起動していない・ダウンしているなどの状態
サーバが正常に起動していない場合、認証できません。
サーバ状況をご確認いただきますようお願いします。
サイトが公開されていない状態
外部からアクセスできない場合、認証できません。
サイトを公開してください。
認証ファイルが削除されている状態
再度会員メニューより認証ファイルをダウンロードのうえ、
申請対象のFQDN(コモンネーム)配下にアップロードしてください。
アップロード先
http://申請したFQDN/.well-known/pki-validation/fileauth.txt
または
https://申請したFQDN/.well-known/pki-validation/fileauth.txt
※「/.well-known/pki-validation/」のフォルダは、お客さまにて作成してください。
サイトがTLS1.1またはTLS1.2をサポートしていない
すでにSSL対応しているサイトに認証用ファイルを配置する場合、
そのウェブサイトは、TLS1.1 または TLS1.2 をサポートしている必要があります。TLS1.0 では認証が行えません 。
※さくらのレンタルサーバでご利用の場合は、TLS1.1、1.2をサポートしています。
認証ファイルへのアクセスが拒否されている
.htaccessにおいて、セキュリティ上の理由などからファイルへの直接アクセスを拒否している場合、
一時的に.txtのファイルへのアクセスを許可するように設定を変更してください。
例).htaccessにおいて、ファイルへの直接アクセスを
拒否するために以下のような設定を行っている場合は、
「txt」の部分を削除してください。
<FilesMatch “\. (ini\.php|lng\.php|txt|gz|tgz)$”>
Order allow,deny
Deny from all
</FilesMatch>
認証ファイルはサーバ上に存在するが、ブラウザでアクセスできない
.htaccessにおいて、以下のようなリダイレクト処理を入れている場合、認証ファイルを確認できません。
RewriteEngine on
RewriteRule (.*) http://追加ドメイン/サブディレクトリ/$1 [R=301,L]
認証ファイルへのクロールを有効にするため、以下のように変更してください。
RewriteCond %{REQUEST_URI} !=/.well-known/pki-validation/fileauth.txt ←この行を挿入
RewriteRule (.*) http://追加ドメイン/サブディレクトリ/$1 [R=301,L]
上記問題はクリアしているのに証明書が発行されない(デジサート)
ファイルが正しい場所にアップロードされ、かつデジサートでの認証が完了しているにも関わらず、証明書発行完了のメールが届かない場合は、セキュリティチェックの対象となっている可能性がございます。
別途お問い合わせください。
セキュリティチェック解除のために、ウェブサイトの公開をお願いしサイトチェックを実施します。
証明書を発行する際には、ご申請のコモンネームにてホームページを一時的にでも公開していただく必要があります。
ウェブサイトの運営団体名、ウェブサイトで行っているサービス内容の紹介や事業内容の説明が確認できるサイトでございましたら、問題ございません。
お問い合わせ前にあらかじめ、サイトにて上記内容が確認できるよう公開をお願いいたします。
セキュリティチェックは、フィッシングなどの防止措置として実施しています。
認証ファイルはどこにアップロードするのか。
- JPRSの場合
http://申請したFQDN/.well-known/pki-validation/ランダムな文字列.txt
または
https://申請したFQDN/.well-known/pki-validation/ランダムな文字列.txt
- デジサートの場合
http://申請したFQDN/.well-known/pki-validation/fileauth.txt
または
https://申請したFQDN/.well-known/pki-validation/fileauth.txt
※「/.well-known/pki-validation/」のフォルダは、お客さまにて作成してください。
通常は『www』フォルダの中に認証ファイルのアップロードをしていただいております。
マルチドメイン設定をされている場合は、対象フォルダに認証ファイルをアップロードしてください。
インストールしたが、SSLが適用されない。
SNI SSLをONにしているかどうかご確認ください。
新コントロールパネル
サーバコントロールパネルへログインします。
ドメイン/SSLから『ドメイン/SSL』をクリックします。
SSL設定を設定するドメイン名の右側にある『設定』をクリックします。
「SNI SSLを利用する」を選択します。
『 保存する 』をクリックします。
旧コントロールパネル
サーバコントロールパネルへログインします。
『 ドメイン設定 』をクリックします。
『ドメイン詳細設定』の「SSLの利用をお選びください」から該当するものを選択します。
SNI SSLを利用する場合は「SNI SSLを利用する」を選択してください。