証明書について

名称変更について

2025年3月に espar から espar vault (エスパーボルト)へ名称が変更されました。サービスの機能・仕様・価格に変更はありません。詳しくはこちらをご覧下さい。

本ページでは espar vault 導入時に必要となるサーバ証明書(常時SSL化の為)について解説します。

espar vault導入後の常時SSL化の扱い

espar vault を導入すると、下図の通り espar vault の公開サーバが全てのアクセスを受け付けるようになります。詳しくはespar vaultとはをご覧下さい。

構成の変化に伴い、常時SSL化に必要なサーバ証明書の取得/更新/https応答は全てespar vault公開サーバ側で行わなければならなくなります。当該作業を弊社で行うため、お客様または制作会社様の御協力が必要となる場合があります。espar vault を既存サイト/新規サイトのいずれに導入するのかによって対応が異なります。

既存サイトへの導入の場合

同一ドメイン方式での導入のSTEP6、または別ドメイン方式での導入の2-2. 既存サイトのフルリニューアルの場合のSTEP6で以下の作業をお願いします。

1. 証明書取得に必要なドメイン存在確認ファイル(zipファイル)を弊社からメール等でお送りします。(ファイル名の例:le-example.zip)
2. 1のzipファイルをローカルPC/Macで展開して下さい。
3. 展開されたwell-knownディレクトリを既存サーバの DocumentRoot に ftp や scp で設置して下さい。
4. well-knownディレクトリ名を.well-knownに変更して下さい。（先頭にドット . を付ける）して下さい。
5. 弊社よりご案内するhttpで始まるURLにアクセスして表示を確認して下さい。
6. 5.で問題なく表示内容が確認できれば弊社にご連絡下さい。
7. 弊社で Let’s Encrypt 証明書を取得して設定を行います。

導入時のみの作業となります。導入完了後は証明書更新が自動で行われるため、本作業は不要です。

認証ファイル確認でのご留意

手順5では http://www.example.com/〜 のようなhttpで始まるURLをご案内します。Let’s Encrypt 証明書の認証局仕様により、httpsではなくhttpでアクセス可能なことが条件です。

手順5ご確認後の手順6で、弊社より「httpでアクセスができないため認証局から証明書を発行して貰えません」とお知らせする場合があります。サーバ管理者や情報システム部門担当者に以下をお伝え下さい。

• /.well-known/acme-challenge/ 配下に任意の UserAgent でアクセスできるようにして下さい。
• http アクセスを強制的に https に置き換えるHSTS(HTTP Strict Transport Security)が有効になっているか確認して下さい。有効な場合は一時的に解除して下さい。
• LinuxやMacまたはWindows+WSL環境から、以下で応答を確認して下さい。（ドメインは導入サイトのドメインに置換。XXX部分は数十桁の英数字）

  curl -s 'http://www.example.com/.well-known/acme-challenge/XXX'

上記のご確認やご対応が困難な場合、別の方法で証明書発行手続きを進める必要があります。後述の代替策についてをご覧下さい。詳しくは弊社担当者にお尋ね下さい。

代替策について

ドメイン存在確認ファイルの設置やhttpアクセスが難しい場合、以下2通りの代替策で対応します。

(A) DNSトークンを使用

DNSレコードに特別な文字列を指定してドメインの存在確認を行います。ドメインのレコード設定が比較的容易なサイトでお勧めの方法です。(追加費用は発生しません)

この方式では弊社から以下のような情報をお知らせします。

項目	値
レコード名	_acme-challenge.example.com
タイプ	TXT
値	XXX-XXXXXXXX-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

(レコード名の example.com 部分、値の XXX〜 はサイトごとに異なります)

ドメインレジストラが提供する管理画面やネームサーバ管理画面で、適切に設定を行って下さい。具体的な操作方法はオンラインマニュアル等を確認して下さい。(弊社で有償にて設定支援も可能です)

トークン設定の確認方法 (Google Admin Toolbox)

正しく設定できたかどうかの確認に Google Admin Toolbox Dig の活用をお勧めします。

弊社提示情報のレコード名 _acme-challenge.example.com を「名前」欄入力し、「値」の文字列が表示されていれば正しく設定されています。逆に、表示されない場合は正しく設定されていません。認証局から確認がとれませんので証明書の発行もできませんのでご留意管さい。

トークン設定の確認方法 (digコマンド)

MacやLinux,Windows+WSL環境では、ターミナルから以下コマンドで確認できます。

dig TXT _acme-challenge.example.com +short

何も表示されない場合は設定に失敗しているか、DNSのTXTレコードの伝搬に時間がかかっています。ネームサーバを明示的に指定して確認することをお勧めします。

dig TXT _acme-challenge.example.com +short @ns1.nameserver.com

@の後にはネームサーバを指定します。ネームサーバはドメインごとに異なります。

(B) 既存証明書の流用

Let’s Encrypt 証明書を使用せず、既存サイトに設置済みの証明書を使用します。ただし、ご契約が「専用公開サーバプラン」でない場合、有償での対応となります。(初期費用 +¥30,000(税別))

既存サイトに設置している以下ファイルを全てご提供頂きます。

• 秘密鍵
• 証明書
• 中間証明書

後者2つが1ファイルに結合されていて2ファイルのみの場合もあります。ファイル特定が難しい場合、有償で弊社にて確認させて頂くこともできます。(全プランで初期費用 +¥60,000(税別))

espar vault 導入後、流用した証明書期限が切れるタイミングで Let’s Encrypt 証明書に切り替えます。更新用の証明書の購入を行って頂く必要はありません。

流用した証明書で更新したい場合

流用した証明書と同ブランドの証明書での更新を希望される場合、またはお好みの証明書での差し替え・更新をご希望の場合、お客様または制作会社様の責任で更新用の証明書を購入して下さい。原則、弊社は期限管理を行いません。遅くとも期限切れ1ヶ月前に購入して下さい。

証明書を購入後、秘密鍵・証明書・中間証明書のファイルをご用意頂き、証明書更新依頼のお申し込みと同時に弊社へご送付下さい。(有償対応。¥30,000(税込))。

新規サイトへの導入の場合

新規サイトの場合は、新規サイト構築の場合の手順で進行していきます。そのSTEP5が証明書の取得に必要な作業ですが、ご協力頂くことはありません。弊社はSTEP5で以下作業を行います。

1. ドメイン存在確認ファイルを公開サーバに設置する。
2. Let’s Encrypt 認証局にドメイン存在確認リクエストを依頼する。
3. Let’s Encrypt 認証局から公開サーバに確認用アクセスが届く。
4. 3.の応答を返せれば Let’s Encrypt の認証局が証明書が発行する
5. 4.で発行された証明書を公開サーバに設置・設定する。

上記手順3のために、あらかじめ新規サイト構築の場合のSTEP4(公開用ドメインのDNS設定)を完了して頂いておく必要があります。