版数

日付

内容

担当

V.1.0

2018/2/26

初版

NII

V.1.1

2018/3/26

CT対応版の中間CA証明書について説明を追加

NII

V.1.2

2018/7/9

ECDSA対応版のルート証明書、中間CA証明書について説明を追加

NII

V.2.4

2019/4/22

ECC認証局 中間CA証明書の名称を変更

NII

V.2.5

2020/1/31

画像と文字の位置を修正

NII

V.2.6

2020/4/13

中間CA証明書のファイル名を修正

NII

V.2.7

2020/8/25

中間CA証明書の記載内容を修正

NII

V.2.8

2020/12/22

中間CA証明書を修正

NII

V.2.9

2025/12/18

RSA認証局 中間CA証明書のファイル名を変更、クロスルート証明書用の手順を追加

NII

前提条件

1. 鍵ペア及びCSRを生成する端末にOpenSSLがインストールされていること

2. 証明書をインストールする端末にIISがインストールされていること

事前準備

1. [証明書の申請から取得まで]で受領したサーバ証明書をserver.cerという名前で任意の場所に保存してください。
   (本マニュアルではローカルディスクのworkディレクトリ[C:\work]に保存しています。)
   
   

2. 中間CA証明書を準備します。
   次のURLにアクセスすることでリポジトリにアクセスすることが可能です。

   ●リポジトリ（証明書の発行日時が2025年12月17日0時以降の場合）：https://repo1.secomtrust.net/sppca/nii/odca4/index.html
   サーバ証明書G8 RSA認証局　中間CA証明書
   「NII Open Domain CA - G8 RSA(SC Organization Validation CA) CA証明書 (nii-odca4g8rsa-pem.cer)」
   サーバ証明書G7 ECC認証局　中間CA証明書
   「NII Open Domain CA - G7 ECC(SC Organization Validation CA) CA証明書 (nii-odca4g7ecc.cer)」
   
   

   ●リポジトリ（証明書の発行日時が2025年12月16日23時59分以前の場合）：https://repo1.secomtrust.net/sppca/nii/odca4/index.html
   サーバ証明書 RSA認証局　中間CA証明書
   「NII Open Domain CA - G7 RSA(SC Organization Validation CA) CA証明書(nii-odca4g7rsa.cer)」
   サーバ証明書 ECC認証局　中間CA証明書
   「NII Open Domain CA - G7 ECC(SC Organization Validation CA) CA証明書(nii-odca4g7ecc.cer)」
   
   

   ●リポジトリ：https://repository.secomtrust.net/SC-Root2/

   SECOM TLS RSA Root CA 2024　クロスルート証明書
   「Security Communication RootCA2が発行したクロス証明書(Cross Certificate) (tlsrsarootca2024cross-pem.cer)」
   
   【サーバ証明書(サーバ証明書G8 RSA認証局)をインストールする場合】
     RSA認証局 中間CA証明書をnii-odca4g8rsa-pem.cerという名前で保存したと仮定して以降記載します。

   【クロスルート証明書をインストールする場合(サーバ証明書G8 RSA認証局のみ)】

      RSA認証局 クロスルート証明書 をtlsrsarootca2024cross-pem.cerという名前で保存したと仮定して以降記載します。
   
   

3. ルートCA証明書を確認します。Internet Explorerを立ち上げ、[ツール(T)]→[インターネットオプション(O)]で表示されるインターネットオプション画面より[コンテンツタブ]を選択し、[証明書(C)]ボタンを押して証明書ストアを表示してください。証明書画面で[信頼されたルート証明機関]のタブを選択してください。 

   以下ルートCAの証明書がある場合は、取得は不要です。
   ・Security Communication RootCA2
   ・Security Communication ECC RootCA1
   無い場合は、「1-2-2 ルートCA証明書のインストール手続き」に従い、ルートCA証明書の取得、インストールを行ってください。

1. 事象の概要

利用者のブラウザによって、Web サイトの証明書チェーンが正しく構築されず、接続エラーが発生する場合があります。

これは、サーバーに「複数の証明書パス（チェーン）」が存在することにより、Windows が 誤った（短い）チェーンを選択してクライアントへ提示してしまうことが原因です。

Microsoft の技術文書（KB 2831004）でも、複数の信頼パスが存在すると Windows は短いチェーンを優先的に選択し、必要なクロスルートのチェーンが提示されない場合がある、と記載されています。これに該当するものと思われます。

2. 原因

今回の証明書には以下の 2 種類のパスが存在していました。

パスA（Windows が選択する短いチェーン）

パスB（本来選択されるべきパス：Chrome / Apple プラットフォーム / Firefox が必要とするクロスルート経由）

Windows はパスAを優先しますが、Chrome / Apple / Firefox はパスBを必要とするため、サーバーが誤った中間証明書を提示すると接続に失敗します。

3. 回避策

IIS では、Windows の証明書ストアに存在する中間証明書から自動選択してチェーンを提示します。
そのため、不要な中間証明書が残っていると、誤ったチェーン（パスA）が提示されます。

このため「使用しない証明書パスの中間証明書を、IIS サーバーから削除または無効化」する必要があります。

4. 具体的手順

以下は Microsoft KB 2831004 の手順をベースに、説明いたします。

4.1 手順 1：管理者としてログオン

サーバーへ ローカル管理者権限 または同等権限でログオンします。

4.2 手順 2：MMC に「証明書」スナップインを追加

1. [スタート] → [実行] をクリック

2. mmc と入力し Enter

3. 上部メニューで [ファイル] → [スナップインの追加と削除]

4. 左側リストから [証明書] を選び → [追加]

5. [コンピューター アカウント] を選択 → [次へ]

6. [ローカル コンピューター] を選択 → [完了]

7. [OK]

4.3 手順 3：誤った証明書チェーンを構成するルート証明書を確認

MMC 左側で次へ進みます：

ここに、使用すべきではない（＝誤ったチェーンを形成する）証明書が含まれている可能性があります。

Open

今回対象となるのは下記の証明書です。

◆ 削除/無効化すべき証明書

• SECOM TLS RSA Root CA 2024
  発行者: SECOM TLS RSA Root CA 2024
  （＝自己署名版。Windows が短いチェーンで使ってしまう）

※この自己署名パスを残すと、IIS はこの短いチェーンを選択してしまいます。

4.4 手順 4：証明書を削除または無効化

① 削除する場合

対象の証明書を右クリック → [削除]

② 無効化する場合

対象の証明書を右クリック →
[プロパティ] → [この証明書のすべての目的を無効にする] → [OK]

4.5 手順 5：クロスルート経由の正しい中間証明書が存在していることを確認

次の証明書が「中間証明機関」に存在することを確認します。

◆ 正しく残すべき証明書

• SECOM TLS RSA Root CA 2024（クロスルート版）
  発行者: Security Communication RootCA2

• NII Open Domain CA - G8 RSA

これらが残っていれば、IIS はクロスルート経由（パスB）を選択してクライアントに提示します。

4.6 手順 6：サーバー再起動

設定が反映されない場合、以下のいずれかを実施してください。

• iisreset コマンド（管理者権限の PowerShell または コマンドプロンプトで実施）

• OS の再起動

IIS が証明書ストアを読み直すため、再起動によってチェーンが正しく提示されることがあります。

4.7 手順 7：自動ルート更新の無効化

不要な証明書（短いチェーンの中間証明書）が自動で復元されてしまう場合があります。
防止のため次を設定します。

1. [スタート] → [実行]

2. gpedit.msc → Enter.

Open

4. [ルート証明書を自動更新しない] をダブルクリック

5. [有効] → [OK]

Open

この状況で問題なく、動作していることをご確認お願いします。

ルートCA証明書のインストール

最新のWindowsでは、既にインストールされているか、ルートCA証明書をダブルクリックするだけで自動インストールされます。

1. 次のサイトに接続してください。 

   【サーバ証明書 RSA認証局(G7, G8)利用の場合】
   https://repository.secomtrust.net/SC-Root2/index.html
   「Security Communication RootCA2」の証明書リンクを選択し、SCRoot2caPem.cerをダウンロードしてください。

   Open

   

    

   【サーバ証明書G7 ECC認証局利用の場合】
   https://repository.secomtrust.net/SC-ECC-Root1/index.html
   「Security Communication ECC RootCA1 Certificate(SCECCRoot1ca.cer)」と記述されたリンクを選択してください。

   Open

   

    

   2.以降の説明はSCRoot2ca.cerを利用した場合の説明になります。
     他のルート証明書を利用する場合もファイル名以外は同様の手順となります。
   
   

2. ファイルのダウンロードを行いますので、[保存(S)]を選択してください。

   Open

   

    

3. [ファイルを開く（O）]を選択してください。

   Open

   

    

4. 開いているファイル – セキュリティ警告ウィンドウが表示されますので、[開く(O）]を選択してください。

   Open

   

    

5. インストールされた証明書を確認するために、事前準備と同様の方法で発行先、発行者を確認してください。

   【ルート証明書がSCRoot2ca.cerの場合】
   発行先「Security Communication RootCA2」、発行者「Security Communication RootCA2」、
   「Fingerprint (SHA-1) =5f 3b 8c f2 f8 10 b3 7d 78 b4 ce ec 19 19 c3 73 34 b9 c7 74」であることを確認してください。

   【ルート証明書がSCECCRoot1ca.cerの場合】
   発行先「Security Communication ECC RootCA1」、発行者「Security Communication ECC RootCA1」、
   「Fingerprint (SHA-1) = b8 0e 26 a9 bf d2 b2 3b c0 ef 46 c9 ba c7 bb f6 1d 0d 41 41」であることを確認してください。

    

6. 上記を確認後、証明書の利用方法の変更を実施します。証明書画面より、当該の証明書を選択しダブルクリックしてください。

   Open

   

    

7. 証明書詳細画面が表示されますので、[詳細]タブを選択し、[プロパティの編集(E）]を選択してください。

   Open

   

    

8. 証明書プロパティ画面で[全般]タブを選択してください。 [次の目的だけを有効にする(O）]のラジオボタンにチェックを入れると、
   下部の証明書の目的部分のチェックボックスの編集が可能となります。以下の項目以外のチェックボックスをすべて外してください。

   1. サーバー認証

   2. クライアント認証

   3. コード署名

   4. 電子メールの保護

   5. タイムスタンプ

      Open

      
      Open

      

       

9. 証明書プロパティ画面に戻り[適用(A）]を選択後、[OK]を選択してください。

   Open

   

    

10. 証明書詳細画面に戻るので、[OK]を選択し、画面を閉じてください。

    Open

    

     

11. 証明書画面に戻るので、証明書の目的の欄に以下の項目が表示されていることを確認し[閉じる(C）]を選択してください。

    1. サーバー認証

    2. クライアント認証

    3. コード署名

    4. 電子メールの保護

    5. タイムスタンプ

       Open

       

        

       以上で、ルートＣＡ証明書のインストールは終了です。

中間CA証明書のインストール

1. [1-2-1.事前準備]で取得した中間ＣＡ証明書をダブルクリックしてください。
   
   

2. [証明書]ダイアログが表示されます。発行先と発行者を確認した後、[全般]タブの[証明書のインストール(I)...]を選択してください。

   ●証明書の発行日時が2025年12月17日0時0分以降の場合

   【RSA認証局　中間CA証明書をインストールする場合】
   発行先：NII Open Domain CA - G8 RSA
   発行者：SECOM TLS RSA Root CA 2024

   ※RSA認証局では、クロスルート証明書も以下と同様の手順でインストールしてください。

   【ECC認証局　中間CA証明書をインストールする場合】
   発行先：NII Open Domain CA - G7 ECC
   発行者：Security Communication ECC RootCA1

    

   ●証明書の発行日時が2025年12月16日23時59分以前の場合

   【RSA認証局　中間CA証明書をインストールする場合】
   発行先：NII Open Domain CA - G7 RSA
   発行者：Security Communication RootCA2

    

   【ECC認証局　中間CA証明書をインストールする場合】
   発行先：NII Open Domain CA - G7 ECC
   発行者：Security Communication ECC RootCA1

    

3. 証明書インポートウィザード]が表示されますので、[ローカルコンピュータ(L）]を選択し、[次へ(N）]を選択してください。

   Open

   

    

4. [証明書をすべて次のストアに配置する(P)]を択一し、[参照(R)...]を選択してください。

   Open

   

    

5. [証明書ストアの選択]ダイアログが表示されますので、[中間証明機関] を選択し、[OK]を選択してください。

   Open

   

    

6. 証明書ストアに[中間証明機関]が表示されていることを確認し、[次へ(N)]を選択してください。

   Open

   

    

7. 以下の確認画面が表示されたら、[完了]を選択してください。

   Open

   

サーバ証明書のインストール

1. [1-2-1.事前準備]で取得したサーバ証明書と[鍵ペアの生成]で生成した私有鍵をPKCS#12ファイルにします。
   サーバ証明書と私有鍵を同じフォルダ内に配置し、以下のコマンドを実行してください。
   カレントフォルダ内に、鍵ペアとサイト証明書（SSL/TLS証明書）を連結したPKCS#12の[servername.pfx]が作成されます。  

2. 次に、サーバ証明書をIISに設定します。[インターネットインフォメーションサービス（IIS）マネージャ]を起動し、
   該当のサーバを選択し、[サーバー証明書]をダブルクリックしてください。 

   Open

   

    

3. [操作]メニューの[インポート]をクリックしてください。 

   Open

   

    

4. [．．．]ボタンをクリックし、手続き１.で準備した[servername.pfx]を指定します。
   パスワード欄にPKCS#12ファイルを作る際に指定したPKCS#12保護パスワードを入力します。
   [この証明書のエクスポートを許可する]をチェックし、[OK]を押してください。

   Open

   

    

5. サーバ証明書に、インポートした証明書が登録されていることを確認してください。

   Open

   

CSRをIISで作成した場合(RSA)

1. サーバ証明書をIISに設定します。[インターネットインフォメーションサービス（IIS）マネージャ]を起動し、該当のサーバを選択し、[サーバー証明書]をダブルクリックします。
   
   

   Open

   

   
   
   

2. [操作]メニューの[証明書の要求の完了...]をクリックします。

   Open

   

   
   
   

3. [証明書の要求を完了する]ウィザードが起動します。[OK]ボタンを押下します。 証明機関の応答が含まれるファイルの名前：【...】ボタンより保存したサーバ証明書を指定します。 フレンドリ名：任意で証明書を識別するための名前を指定します。

   Open

   

   
   
   
   

4. サーバ証明書に、インポートした証明書が登録されていることを確認してください。

   Open

   

CSRをIISで作成した場合(ECDSA)

1. [スタート] メニューの [すべてのプログラム] をクリックします。[アクセサリ] をクリックして、[ファイル名を指定して実行] をクリックします。
   [名前] ボックスに「mmc」と入力し[OK]ボタンを押下します。
   

   
   
   

2. Microsoft Management Console が表示されます。

   Open

   

    

3. [ツールバー] > [ファイル]  > [スナップインの追加と削除] を選択してください。

   Open

   

   
   
   

4. [利用できるスナップイン] > [証明書] を選択し、[追加]ボタンを押下してください。

   Open

   

   
   
   

5. [コンピュータアカウント]を選択し、[次へ]ボタンを押下してください。

   Open

   

   
   
   

6. ローカルコンピュータ（このコンソールを実行しているコンピュータ）]を選択し、[完了]ボタンを押下してください。

   Open

   

   
   
   

7. 選択されたスナップインに [証明書 - ローカル コンピューター]が表示されていることを確認し、[OK]ボタンを押下してください。

   Open

   

   
   
   

8. [コンソールルート] > [証明書 - ローカル コンピューター]が表示されていることを確認してください。
   

   
   
   

9. [コンソールルート] > [証明書 - ローカル コンピューター] > [個人] > [証明書]を選択し、
   右クリックメニューから[すべてのタスク] > [インポート]を選択してください。

   Open

   

10. [次へ]ボタンを押下してください。
    

    
    
    

11. ダウンロードしたサーバ証明書を選択し、[次へ]ボタンを押下してください。

    Open

    

    
    
    

12. 以下の設定になっていることを確認し、[次へ]ボタンを押下してください。

    [証明書をすべて次のストアに配置する]を選択
    [証明書ストア]で[個人]を指定
    

     

13. 内容を確認し、[完了]ボタンを押下してください。
    

    
    
    

14. 証明書の一覧に、インポートした証明書が登録されていることを確認してください。

    Open

    

     

サーバ証明書の置き換えインストール

1. 手続き「1-2-1 事前準備」で取得した中間CA証明書を、手続き「1-2-3 中間CA証明書のインストール」に従ってインストールしてください。
   

2. 手続き「1-2-4 サーバ証明書のインストール」を参照し、更新したサーバ証明書のインストールを実施してください。
    

3. サーバ証明書をIISからエクスポートします。[インターネットインフォメーションサービス（IIS）マネージャ]を起動し、
   該当のサーバを選択し、[サーバー証明書]をダブルクリックします。

   Open

   

    

4. 削除対象の証明書を選択し、[操作メニュー]の[エクスポート]を選択してください。

   Open

   

    

5. [．．．]ボタンをクリックし、[エクスポート先(E)]を指定します。[パスワード(P)]と[パスワードの確認入力(M)]に
   PKCS#12ファイルを作る際に指定したPKCS#12保護パスワードを入力します。 [OK]を押してください。