SSL証明書の認証について

SSL証明書を発行する際には、「認証」のプロセスが必要となります。 本ブログでは、その認証の種類や内容についてご説明いたします。

「認証」は、第三者による「成りすまし申請」の防止や掲載する「組織の実在確認」など、SSL証明書の信頼に繋がる必用な工程です。

まずSSL証明書は、大きく分けると以下となります。

ドメイン認証(DV)

SSL証明書を申請したドメインが、ドメイン所有者(権限があるか)による申請かどうかの確認となります(ドメイン名の利用権確認)。

以下3つの方法がございます。

  • メール認証
  • ファイル認証
  • DNS認証
SSLの申請は、社内のIT部門や、ドメイン所有者から依頼を受けた代行業者(サーバ管理会社等)によって実施することが可能です。
認証方法に対応できる権限があれば、社内のIT部門や代行業者が代理で認証もできます。

組織認証(OV)

SSL証明書に組織情報を掲載するプランの証明書となります。

掲載する「組織情報」の信頼性を、以下で確認します。

企業認証、企業実在認証SSLという名前でも呼ばれています。 この上に、さらに審査があるEV SSLがございます。

  • 組織のステータス(実在)を、第三者機関の登録情報で確認
  • SSLに掲載を希望する情報と登録情報の一致確認
  • 掲載組織の担当者様に電話で在籍を確認 (電話認証)

「OV SSL」の審査は、ドメイン認証(DV)に加えて、組織認証(OV)が必要となります。

「OV SSL」の弊社プラン名は、「プラン3」「プラン4」「プランG3」となります。

申請は、社内のIT管理部門や代行会社によって行うことが可能ですが、「電話認証」については、該当部署のエンドユーザー様にご対応いただく必要があります。

組織情報の確認に使用される第三者機関の登録内容は、日本の機関で変更しても「国際的に反映」されるまでには、約1か月かかります。
そのため、登録内容に変更がある場合は、SSL証明書の申請より早めにご対応いただきますようお願いいたします。

 

■SSL証明書を申請すると、以下の「認証」が必用となります。

メール認証について

「申請ドメイン」を元にした「指定のメールアドレス」に、認証用のメールが届きます。

「指定のメールアドレス」は、申請フォームで以下のリストから選択できます。
審査のため、送信先は以下のメール限定となります。

  • admin@申請ドメイン名
  • administrator@申請ドメイン名
  • hostmaster@申請ドメイン名
  • postmaster@申請ドメイン名
  • webmaster@申請ドメイン名

「申請ドメイン名」に「サブドメインが含まれる場合」は、サブドメインの「有り無し」を選択することが可能です。

例:sub.securestage.com のドメインでは、 admin@sub.securestage.com と admin@securestage.com が選択できます。

リストのメールアドレスが存在しない場合は、認証のために「一時的にメールアドレスを作成」し「受信」するケースがございます。

リストのメールに届いた「認証用のメール」(確認メール)を担当部署に転送し、担当部署で内容確認の上「認証」を行うケースもございます。

メールアドレスは、認証後は不要となりますので、削除いただいて問題ございませんが、再発行を行う必用が発生した場合は、認証のためご用意いただきます。

ファイル認証について

指定のURLで「認証用のコード」(トークン)が表示されるとSSL証明書が発行されます。

指定のURLは、http://申請ドメイン名/.well-known/pki-validation/fileauth.txt となります(httpsも可能)。

「認証用のコード」は、申請時に発行されます。

  • 他の認証と違い「ダブルアドレスオプション」の選択があります。
  • 「www.ドメイン名」と「ドメイン名」の両方に対応するSSL証明書を希望の場合は、「ダブルアドレスオプション」を選択します。
  • 「ダブルアドレスオプション」を選択しない場合は、申請ドメイン名のみ対応のSSL証明書となります。

「ダブルアドレスオプション」を選択した場合は、「www有り」と「www無し」の両方のURLに、「認証用のコード」を設置する必要があります。

 http://www.securestage.com/.well-known/pki-validation/fileauth.txt

 http://securestage.com/.well-known/pki-validation/fileauth.txt

 

「ダブルアドレスオプション」が不要のケース

  • 「www.ドメイン」または「ドメイン」(例 securestage.com)のいずれか一方しか、SSL証明書を必用としない
  • 「www.ドメイン」または「ドメイン」(例 securestage.com)のいずれか一方しか、アクセスできないため認証できない
  • 「サブドメイン有り」ドメイン(例 sub.securestage.com)のため、「www」が不要

デジサート(ジオトラスト)の企業認証ワイルドカードSSL(弊社名プラン4)は、ファイル認証が選択できません。

「認証用のコード」は、認証後は不要となりますので、削除いただいて問題ございません。

DNS認証について

申請ドメイン名のTXTレコードまたはCNAMEに、「認証用のコード」(トークン)を設置します。 

「認証用のコード」の設置場所(TXTレコードの場合)
 securestage.com. または _dnsauth.securestage.com.

「認証用のコード」は、申請時に発行されます。

  • Comodo (Sectigo) SSL は、「CNAME」での認証となります。
  • JPRS SSL は、DNS認証が用意されておりません。

 「認証用のコード」は、認証後は不要となりますので、削除いただいて問題ございません。

電話認証について

組織認証(OV)のSSL証明書は、認証局(SSL証明書会社)の審査担当者から電話がございます。

SSL証明書申請フォームに、電話認証を受ける担当者様の情報の記載いただきます。

電話での確認内容は、担当者様の在籍と申請内容となります。

  • 電話認証の日時は、指定できます。
  • ジオトラスト(プラン3,プラン4)は、予約フォームで指定できます。
  • グローバルサイン(プランG3)は、申請フォームの備考欄に日時を記載します。

SSL証明書の申請は、IT部門や代行業者を通じて行うことが可能ですが、電話認証に関しては、エンドユーザー様ご自身でご対応いただくか、担当者様のご用意をお願いいたします。

ジオトラスト(デジサート社)の案内 

https://knowledge.digicert.com/jp/solution/verification-call

グローバルサイン社の案内

https://jp.globalsign.com/ssl-shop/new-order/verify_telephone.html

 

更新時、組織情報に「特に変更がない」場合は、審査担当者の判断により、電話認証が省略されることがございます。

 

認証についてご不明な場合は、サポートまでご相談ください。