ファイル認証SSL トラブルシューティング
ファイル認証ってなに?
『ファイル認証』とは、認証ファイル (※1) が申請対象のFQDN(コモンネーム)配下に配置(アップロード)されたことを
認証局が検知 (※2) すると、SSL証明書が発行される仕組みです。
ファイル認証対象サービス
JPRS ドメイン認証型 ジオトラスト ラピッドSSL・クイックSSLプレミアム
※JPRS ドメイン認証型で、サーバコントロールパネルよりお申込の場合、認証ファイルは自動的にアップロードされます。
認証ファイルをアップロードしたのに証明書が発行されません。
お客様にて認証ファイルをアップロード後、証明書が発行されない場合は問題が発生している可能性がございます。
秘密鍵の削除や、申込み直しは行わず、以下をご確認ください。
JPRS
正しい場所に認証ファイルがアップロードされていない。
申請対象のFQDN(コモンネーム)配下に再度認証ファイルを配置してください。
■アップロード先
http://申請したFQDN/.well-known/pki-validation/ランダムな文字列.txt
または
https://申請したFQDN/.well-known/pki-validation/ランダムな文字列.txt
www.example.com(例)のFQDNで申請を行った場合の設定方法
コモンネームをwww.example.com(例)で申請した場合でも、wwwを取り除いたURLで
認証ファイルの確認ができないと認証されません。
| http://example.com/.well-known/pki-validation/[ランダムな文字列].txt https://example.com/.well-known/pki-validation/[ランダムな文字列].txt |
「www+ルートドメイン」のみのURLで、サイトを公開されている方は、証明書が発行されるまでの間、
上記形式のURLでも認証ファイルが確認できるよう、設定をお願いします。
購入したJPRS SSLの種類により対応方法が異なりますので以下をご確認ください。
なお、申請コモンネームがexample.comの場合は対応の必要はありません。
- さくらのレンタルサーバでご利用の場合
ドメイン設定をご確認ください。
example.comの「マルチドメイン(推奨設定)」になっており、example.comのURLが閲覧可能であれば
ラピッドSSL発行は可能です。www.example.comの「マルチドメイン(上級者設定)」になっている場合は、認証が完了しません。
この場合、サーバコントロールパネルでexample.comでドメインを追加し
・「マルチドメイン(推奨設定)」に設定
・www.example.comと同じパスを設定(設定している場合のみ)
・必要に応じ証明書をインストール
・www.example.com のドメイン設定を削除の後、弊社へご連絡ください。再手続きについてご案内いたします。
example.comのドメインがさくらのレンタルサーバに設定されていない場合は
お使いのネームサーバマニュアル等を参照し、NSレコードを編集してください。
詳しくは他社で取得・管理中のドメインを利用をご確認ください。
- さくらのレンタルサーバ以外のサーバでご利用の場合
さくらのレンタルサーバ以外で利用する場合は、www.example.com と example.com の両方に認証ファイルを
設置し、閲覧可能にする必要があります。
認証ファイルをアップロードしているサーバと、参照先サーバが異なってジオトラストが認証できない。
正しく認証ファイルをアップロードされても、実際のアクセス先が異なると認証できません。
認証ファイルアップロード先のサーバを参照するよう設定してください。
サーバにアクセスできない状態(アクセス制限・ベーシック認証など)
アクセス制限を設定している場合、認証することができません。
アクセス制限を解除してください。
サーバが起動していない・ダウンしているなどの状態
サーバが正常に起動していない場合、認証できません。
サーバ状況をご確認いただきますようお願いします。
サイトが公開されていない状態
外部からアクセスできない場合、認証できません。
サイトを公開してください。
認証ファイルが削除されている状態
再度会員メニューより認証ファイルをダウンロードのうえ、
申請対象のFQDN(コモンネーム)配下にアップロードしてください。
アップロード先
http://申請したFQDN/.well-known/pki-validation/ランダムな文字列.txt
または
https://申請したFQDN/.well-known/pki-validation/ランダムな文字列.txt
※「/.well-known/pki-validation/」のフォルダは、お客さまにて作成してください。
認証ファイルへのアクセスが拒否されている
.htaccessにおいて、セキュリティ上の理由などからファイルへの直接アクセスを拒否している場合、
一時的に.txtのファイルへのアクセスを許可するように設定を変更してください。
例).htaccessにおいて、ファイルへの直接アクセスを拒否するために以下のような設定を行っている場合は、
「txt」の部分を削除してください。
<FilesMatch “\. (ini\.php|lng\.php|txt|gz|tgz)$”>
Order allow,deny
Deny from all
</FilesMatch>
認証ファイルはサーバ上に存在するが、ブラウザでアクセスできない
.htaccessにおいて、以下のようなリダイレクト処理を入れている場合、認証ファイルを確認できません。
RewriteEngine on
RewriteRule (.*) http://追加ドメイン/サブディレクトリ/$1 [R=301,L]
認証ファイルへのクロールを有効にするため、以下のように変更してください。
RewriteEngine on
RewriteCond %{REQUEST_URI} !=/.well-known/pki-validation/ランダムな文字列.txt ←この行を挿入
RewriteRule (.*) http://追加ドメイン/サブディレクトリ/$1 [R=301,L]
デジサート
正しい場所に認証ファイルがアップロードされていない。
申請対象のFQDN(コモンネーム)配下に再度認証ファイルを配置してください。
■アップロード先
http://申請したFQDN/.well-known/pki-validation/fileauth.txt
または
https://申請したFQDN/.well-known/pki-validation/fileauth.txt
※「/.well-known/pki-validation/」のフォルダは、お客さまにて作成してください。
www.example.com(例)のFQDNで申請を行った場合の設定方法
2017年12月1日にラピッドSSLの仕様変更が行われたため、www.example.comでSSL証明書の発行申請を行った場合、
example.comのFQDNでもファイル認証が必要になりました。
なお、申請コモンネームがexample.comの場合は対応の必要はありません。
- さくらのレンタルサーバでご利用の場合
ドメイン設定をご確認ください。
example.comの「マルチドメイン(推奨設定)」になっており、example.comのURLが閲覧可能であれば
ラピッドSSL発行は可能です。www.example.comの「マルチドメイン(上級者設定)」になっている場合はドメイン設定の追加が必要です。
ドメインの新規追加からexample.com のドメイン設定を追加し、「マルチドメイン(上級者設定)」に
設定してください。example.comのドメインがさくらのレンタルサーバに設定されていない場合はお使いのネームサーバマニュアル
等を参照し、NSレコードを編集してください。
詳しくは他社で取得・管理中のドメインを利用をご確認ください。
- さくらのレンタルサーバ以外のサーバでご利用の場合
さくらのレンタルサーバ以外で利用する場合は、www.example.com と example.com の両方に認証ファイルを
設置し、閲覧可能にする必要があります。
認証ファイルをアップロードしているサーバと、参照先サーバが異なってジオトラストが認証できない。
正しく認証ファイルをアップロードされても、実際のアクセス先が異なると認証できません。
認証ファイルアップロード先のサーバを参照するよう設定してください。
サーバにアクセスできない状態(アクセス制限・ベーシック認証など)
アクセス制限を設定している場合、認証することができません。
アクセス制限を解除してください。
サーバが起動していない・ダウンしているなどの状態
サーバが正常に起動していない場合、認証できません。
サーバ状況をご確認いただきますようお願いします。
サイトが公開されていない状態
外部からアクセスできない場合、認証できません。
サイトを公開してください。
認証ファイルが削除されている状態
再度会員メニューより認証ファイルをダウンロードのうえ、
申請対象のFQDN(コモンネーム)配下にアップロードしてください。
アップロード先
http://申請したFQDN/.well-known/pki-validation/fileauth.txt
または
https://申請したFQDN/.well-known/pki-validation/fileauth.txt
※「/.well-known/pki-validation/」のフォルダは、お客さまにて作成してください。
サイトがTLS1.1またはTLS1.2をサポートしていない
すでにSSL対応しているサイトに認証用ファイルを配置する場合、そのウェブ サイトは、TLS1.1 または TLS1.2 を
サポートしている必要があります。TLS1.0 では認証が行えません 。
※さくらのレンタルサーバでご利用の場合は、TLS1.1、1.2をサポートしています。
認証ファイルへのアクセスが拒否されている
.htaccessにおいて、セキュリティ上の理由などからファイルへの直接アクセスを拒否している場合、
一時的に.txtのファイルへのアクセスを許可するように設定を変更してください。
例).htaccessにおいて、ファイルへの直接アクセスを拒否するために以下のような設定を行っている場合は、
「txt」の部分を削除してください。
<FilesMatch “\. (ini\.php|lng\.php|txt|gz|tgz)$”>
Order allow,deny
Deny from all
</FilesMatch>
認証ファイルはサーバ上に存在するが、ブラウザでアクセスできない
.htaccessにおいて、以下のようなリダイレクト処理を入れている場合、認証ファイルを確認できません。
RewriteEngine on
RewriteRule (.*) http://追加ドメイン/サブディレクトリ/$1 [R=301,L]
認証ファイルへのクロールを有効にするため、以下のように変更してください。
RewriteEngine on
RewriteCond %{REQUEST_URI} !=/.well-known/pki-validation/fileauth.txt ←この行を挿入
RewriteRule (.*) http://追加ドメイン/サブディレクトリ/$1 [R=301,L]
上記問題はクリアしているのに証明書が発行されない(デジサート)
ファイルが正しい場所にアップロードされ、かつデジサートでの認証が完了しているにもかかわらず
証明書発行完了のメールが届いていない場合は、セキュリティチェックの対象となっている可能性がございます。
別途お問い合わせください。
セキュリティチェック解除のために、ウェブサイトの公開をお願いしサイトチェックを実施します。
証明書を発行させていただくためには、
ご申請のコモンネームにてホームページを、一時的にでも公開していだたく必要があります。
ウェブサイトの運営団体名、
ウェブサイトで行っているサービス内容の紹介や事業内容の説明が確認できるサイトでございましたら、
問題ございません。
お問い合わせ前にあらかじめ、サイトにて上記内容が確認できるよう公開をお願いいたします。
セキュリティチェックは、フィッシングなどの防止措置といたしまして、実施しています。
認証ファイルはどこにアップロードするのか。
- JPRSの場合
http://申請したFQDN/.well-known/pki-validation/ランダムな文字列.txt
または
https://申請したFQDN/.well-known/pki-validation/ランダムな文字列.txt
- デジサートの場合
http://申請したFQDN/.well-known/pki-validation/fileauth.txt
または
https://申請したFQDN/.well-known/pki-validation/fileauth.txt
※「/.well-known/pki-validation/」のフォルダは、お客さまにて作成してください。
通常は『www』フォルダの中に認証ファイルのアップロードをしていただいております。
マルチドメイン設定をされている場合は、対象フォルダに認証ファイルをアップロードしてください。
※マルチドメインの対象フォルダはサーバコントロールパネル内の【ドメイン設定】から確認可能です。
証明書は発行されたが設定時に
「送信されたデータは、このサーバで利用できない証明書です」と表示される
申請後にCSRを再作成した場合、エラーが表示されます。
申請時に作成したCSRで証明書が発行されているため、
再度CSRを作成されるとアンマッチとなりインストールすることが出来ません。
証明書の再発行を行いますので、メールにてお問い合わせください。
なお、再発行の場合、認証方法は「メール認証」となります。
※承認メール送信先は「postmaster@ドメイン名」となります。
申請時に秘密鍵のバックアップを取っている場合は、秘密鍵をアップロードしていただき、中間証明書とともに
証明書のインストールを行ってください。
証明書の再発行について
再発行をご希望の場合は、メールにてお問い合わせください。
※再発行の場合、認証方法は「メール認証」となります。
件名
| 証明書再発行について |
宛先
| support@sakura.ad.jp |
本文
(※)必須項目 ============================================================ [ 証明書再発行依頼 ] ============================================================ ・会員ID :(※) ・契約者名 :(※) ------------------------------------------------------------ ・サービスコード :(※) ・コモンネーム :(※) ・再発行希望の証明書:【 】JPRS ドメイン認証型 【 】ラピッドSSL 【 】クイックSSLプレミアム ・再発行の理由:(※) *記入が確認できないと、再発行を承れない場合があります。 【 】秘密鍵を削除したため 秘密鍵削除の理由 :[ ] 【 】その他 :[ ] ============================================================ |
インストールしたが、SSLが適用されない。
SNI SSLをONにしているかどうかご確認ください。
サーバコントロールパネルへログインします。
『 ドメイン設定 』をクリックします。
『ドメイン詳細設定』の「SSLの利用をお選びください」から該当するものを選択します。
SNI SSLを利用する場合は「SNI SSLを利用する」を選択してください。
『 送信 』をクリックします。
