FujiSSLの証明書は、複数の階層をたどって有効性を検証する「証明書チェーン(信頼の連鎖)」という構造になっています。ここでは、その仕組みと、サーバーに何を設定すればよいのかを、わかりやすくご説明します。
証明書チェーンとは
ブラウザがWebサイトにアクセスすると、まずサーバーから送られてきたサーバー証明書を確認します。しかし、その証明書だけでは「本当に信頼してよいのか」は判断できません。そこでブラウザは、サーバー証明書を発行した「中間CA証明書」、さらにそれを発行した「ルート証明書」へと、下から順に上位の証明書をたどっていきます。最終的に、ブラウザにあらかじめ組み込まれた信頼できるルート証明書までたどり着けば、その証明書は正当であると判断されます。
この、サーバー証明書からルート証明書までの一連のつながりを「証明書チェーン」と呼びます。チェーンが正しくつながっていることが、SSL/TLS通信の信頼の土台です。
FujiSSLの階層構造
FujiSSLは、世界最大級の商用認証局Sectigoのルートのもとで証明書を発行しています。2025年にSectigoがルート証明書体系を刷新したため、現在の階層構造は次のようになっています。
- ルート証明書:Sectigo Public Server Authentication Root R46(RSA)/ E46(ECC)。最上位の証明書で、主要なブラウザ・OSにあらかじめ組み込まれています。サーバーに設定する必要はありません。
- 中間CA証明書:Sectigo Public Server Authentication CA(DV/OV/EV)。ルートとサーバー証明書を仲介します。サーバーに設定します。
- サーバー証明書:お客様のドメインの証明書。サーバーに設定します。
なぜ中間CA証明書を挟むのか
最上位のルート証明書は、極めて重要な鍵であり、厳重に保護する必要があります。そのため、ルートを直接使って一枚一枚のサーバー証明書を発行するのではなく、間に「中間CA証明書」を挟み、その中間CAが日々の証明書発行を担う構造になっています。万が一中間CAに問題が生じても、ルート全体に影響が及ばないようにするための、安全な設計です。
古い環境のためのクロスサイン
新しいルート(R46/E46)は、おおむね2022年以降に更新された環境であれば標準で信頼されます。一方、長期間更新されていない古い環境では、新ルートをまだ認識していない場合があります。そうした環境のために、従来から広く普及しているルート(USERTrust)を経由して信頼を確立する「クロスサイン証明書」が提供されます。これにより、新旧どちらの環境でも、エラーなく証明書が検証されます。
サーバーへの設定で注意すること
証明書をサーバーに設定する際は、以下の点にご注意ください。
- 証明書一式をそのまま設定する:証明書のダウンロード時に提供されるサーバー証明書と中間CA証明書を、まとめて設定してください。これだけで正しいチェーンが構築されます。
- ルート証明書はサーバーに送らない:ルート証明書はクライアント(ブラウザ)側が保持しているため、サーバーから送信する必要はありません。
- 中間証明書を忘れない:中間CA証明書が設定されていないと、チェーンが途切れ、一部の環境で警告が表示される原因になります。
ACME自動更新を利用すると、これらの証明書の取得から設置までが自動で行われるため、チェーンの設定ミスを防げます。