サーバー証明書(SSL)の設定
システムの「ウェブサーバー設定」画面から対象ドメインの「サーバー証明書」欄をクリックすることで証明書の設定画面が表示されます。
前提条件
証明書を設定する独自ドメインのサイトを管理画面上で 1 つ以上作成しておく必要があります。
対象の独自ドメインのサイトが1つも作成されていない場合、その独自ドメインは「ウェブサーバー設定」画面に表示されず、サーバー証明書の設定を行うことができません。
事前準備
独自ドメインのサイトを https(SSL)で公開するには、以下いずれかの方法を利用する必要があります。証明書の設定・更新・削除の操作には、システム管理者権限が必要です。
- Let's Encrypt(無料)
- 独自SSL(アップロード)
- Let's Encrypt(無料)
-
外部サービス「Let's Encrypt」によりサーバー証明書を自動取得します。お客様にてサーバー証明書を用意する必要はありません。
Let's Encrypt の仕組み上、事前に独自ドメインを取得し、且つ、その独自ドメインの参照先が Movable Type クラウド版になるよう DNS 設定をおこなっておく必要があります。
現在別サーバーでサイトを公開していて、DNS 設定の変更により Movable Type クラウド版上で公開したサイトに参照先を切り替えるといった利用方法の場合は、独自SSL(独自証明書)をご利用ください。■注意事項
-
あらかじめ DNS 設定をおこなっていない場合、設定の保存時に以下のエラーメッセージが表示され Let's Encrypt をご利用になれません。(Let's Encrypt 設定直前に DNS 設定をおこなった場合も、設定内容がほかの DNS に伝播していないことによりエラーになることがあります。Let's Encrypt 設定は、DNS 設定変更後、しばらく時間をおいてからおこなってください。)
'(ドメイン名)'のIPアドレスの設定がサーバーのそれと異なっています。 DNS の設定を確認してください。DNS の設定後は、反映にしばらく時間がかかる場合があります。
-
dev ドメイン(xxxx.dev)で Let's Encrypt 証明書を使用する場合、事前に DNS 側の設定に CAA(Certification Authority Authorization)レコードを設定しておく必要があります。
-
対象ドメインの DNS 設定ですでに CAA レコードが設定されている場合は、Let's Encrypt も CAA レコードに追加してください。
■example.com ドメインの場合の設定例example.com. IN CAA 0 issue "letsencrypt.org" CDN(コンテンツデリバリーネットワーク)やクラウド型 WAF(ウェブアプリケーションファイアウォール)を利用されている場合、対象の独自ドメインの DNS 設定は Movable Type クラウド版を参照しないため、Let's Encrypt 証明書はご利用になれません。それらの独自ドメインには「独自 SSL(独自証明書)」をご利用ください。
-
DNS ラウンドロビンを使用して独自ドメインの参照先として複数の IP アドレスを設定している(Movable Type クラウド版以外のサーバーを参照することがある)場合、Let's Encrypt 証明書はご利用になれません。それらの独自ドメインには「独自 SSL(独自証明書)」をご利用ください。
-
- 独自SSL(アップロード)
お客様にてご用意いただいたサーバー証明書を使用します。必要になるサーバー証明書一式は以下のとおりです。
- 証明書 (server.crt)
- 秘密鍵 (server.key)
- 中間証明書
クロスルート証明書など中間証明書が複数にわたる場合は、「中間証明書」欄にまとめて(連結して)設定してください。
認証局(デジタル証明書を発行する機関)からサーバー証明書を取得するには、CSR ファイルを認証局に提示する必要があります。CSR ファイルは一定の書式によって作成されるテキストデータで、一般的には OpenSSL を使用して作成します。CSR ファイルは Movable Type クラウド版では作成できません。詳細は Q&A をご参照ください。
設定手順
前提として、証明書を設定する独自ドメインのサイトを作成済みである必要があります。独自ドメインのサイトを作成していない場合には、まずドキュメント「新しいサイトを作成する」をご参照のうえ作成してください。
設定する証明書のタイプによって以下のいずれかの操作をおこなってください。
- Let's Encrypt の場合
-
- [サーバー証明書を有効にする] のスライドボタンを有効にする(Movable Type 6 の場合はチェックボックスにチェックを入れる)
- [証明書のタイプ] で [Let's Encrypt(無料)] を選択
- [変更を保存] ボタンをクリック
- 独自SSL(独自証明書)の場合
-
- [サーバー証明書を有効にする] のスライドボタンを有効にする(Movable Type 6 の場合はチェックボックスにチェックを入れる)
- [証明書のタイプ] で [独自SSL(アップロード)] を選択
- 事前に用意したサーバー証明書一式を以下の各項目に入力
- 証明書 (server.crt)
- 秘密鍵 (server.key)
- 中間証明書
- [変更を保存] ボタンをクリック
サーバー証明書の更新
- Let's Encrypt の場合
-
更新作業は必要ありません。Let's Encrypt を利用している期間中は自動的にサーバー証明書が更新されます。
サイト全体に別ドメインへのリダイレクト設定を行うと、Let's Encrypt の証明証が更新されません。証明書の期限切れとなった場合は、リダイレクトされずに証明書期限切れのエラーが出ます。なお、http から https へのリダイレクトは同一ドメインへのリダイレクトのため、Let's Encrypt の証明証は自動的に更新されます。
- 独自SSL(独自証明書)の場合
-
サーバー証明書の設定と同じ手順になります。設定済みのサーバー証明書の更新期限が切れる前に更新用のサーバー証明書を用意し、上記手順で設定してください。
サーバー証明書の無効化
以下の手順にて、設定済みの独自ドメインのサーバー証明書を無効化し、初期ドメインの証明書に戻します。
- ダッシュボードのナビゲーションから [システム] を選択
- サイドメニューから [クラウドサービス] - [サーバー証明書] を選択
- サーバー証明書の管理画面にて、証明書を設定したいドメイン名をクリック
- [サーバー証明書を有効にする] のスライドボタンを無効にする(Movable Type 6 の場合はチェックボックスにチェックを外す)
- [変更を保存] ボタンをクリック
注意事項
- [変更を保存] ボタンをクリックしないとサーバー証明書の設定は反映されません。
- サーバー証明書をお客様にてご用意いただく場合、秘密鍵のパスフレーズは解除されている必要があります。パスフレーズ付きの秘密鍵を使用した場合、エラーとなりサーバー証明書を保存できません。
- Movable Type クラウド版の S1i および S2i プランで管理できるサーバー証明書は仕様上 1 つのみになります。そのため、設定した独自ドメインのサーバー証明書は公開サイトだけでなく管理画面でも利用されます。サーバー証明書設定以降は、独自ドメインの URL でアクセスするか、初期ドメインの URL でアクセスした際に表示される証明書の警告画面を無視するかたちでご利用ください。
- Let's Encrypt 証明書を設定後、対象ドメインの DNS 設定を変更し、参照先を別のサーバーにした場合、証明書は更新されません。
- 「www 有無を無視してどちらでもアクセスをできるようにする。」にチェックを入れている状態で Let's Encrypt を利用すると、サイト URL に使用しているドメインに加え、そのドメインの先頭に「www.」を付加したサブドメイン 2 つに対応したサーバー証明書が発行されます。そのため、どちらのドメインでも Movable Type クラウド版を参照するよう DNS 設定をしておく必要があります。
- サーバー証明書が未設定の状態、および、設定済みサーバー証明書の無効化後は、初期ドメインの証明書が利用されます。
- Movable Type クラウド版では CSR ファイルの作成はできません。OpenSSL などがインストールされた環境を用意してお客様にて作成してください。
- 独自SSL から Let's Encrypt に切り替えた場合、独自SSL は削除されます。独自SSL を再度利用するためにはあらためて設定をおこなう必要があります。
- Let's Encrypt では、サーバー証明書の取得から設置までを一度におこなうため、Let's Encrypt 側のサーバーが混み合っていると取得に時間がかかり、即時反映されない場合があります。
- Let's Encrypt で設定できるドメイン数の上限は、ご利用のプランで利用可能なドメイン数と同じです。(原則 10 ドメインまで)
