すべてのプロダクト
Search

このプロダクト

    Certificate Management Service:ルート証明書のダウンロードとインストール

    ドキュメントセンター

    Certificate Management Service:ルート証明書のダウンロードとインストール

    最終更新日:Dec 16, 2025

    ルート証明書は、SSL/TLS 信頼チェーンの基盤であり、認証局 (CA) が発行するすべての中間証明書やサーバー証明書などの下位証明書を検証します。主要なブラウザやオペレーティングシステムには、通常、信頼された CA からのルート証明書がプリインストールされています。しかし、モバイルアプリ、Java クライアント、レガシーシステム、またはモノのインターネット (IoT) デバイスなどの環境では、ルート証明書が存在しないために HTTPS 接続に失敗したり、安全でないという警告が表示されたりすることがあります。このガイドでは、これらのクライアント上で信頼を確立し、SSL/TLS 通信のセキュリティと可用性を確保するために、さまざまなブランドのルート証明書のダウンロードリンクとインストール手順を説明します。

    注意事項

    このトピックは、ルート証明書の手動インストールが必要なクライアント環境に適用されます。

    • モバイルアプリ:システムやブラウザのルート証明書リストと同期しない、カスタム信頼ストアを持つアプリ。

    • Java クライアント:オペレーティングシステムの信頼ストアに依存せず、独立した Java KeyStore (cacerts) を使用するアプリケーション。

    • レガシーオペレーティングシステムまたはブラウザ:Windows XP や Android 4.x など、新しい CA のルート証明書がプリインストールされていない古いシステム。

    • モノのインターネット (IoT) デバイスおよび組み込みシステム:通常、限られたルート証明書セットしか含まないリソースに制約のあるデバイス。

    • 内部ネットワーク環境:パブリック信頼ストアに含まれていないプライベート CA を使用するシステム。

    • 特定のコンプライアンスまたはセキュリティポリシー:信頼された CA のリストを明示的に管理する必要がある環境。

    重要

    最新のブラウザ (Chrome、Firefox、Safari、Edge) およびオペレーティングシステム (Windows 10/11、macOS、Android 8+、iOS 12+) では、DigiCert や GlobalSign などの主要な CA の証明書を使用する場合、通常は手動でのインストールは不要です。ルート証明書はプリインストールされており、システムによって自動的に更新されます。

    ルート証明書のダウンロード

    説明

    内部エンタープライズ CA からルート証明書をインストールする場合は、このステップをスキップして、直接ルート証明書のインストールに進んでください。

    ブランド別ルート証明書のダウンロードリンク

    サーバーで使用されている SSL 証明書のブランド (例:DigiCert、GeoTrust) および証明書タイプ (DV/OV/EV) に基づいて、適切なルート証明書をダウンロードします。たとえば、サーバーが DigiCert OV SSL 証明書を使用している場合は、対応する DigiCert OV ルート証明書をダウンロードします。

    証明書ブランド

    ルート証明書のダウンロード

    DigiCert

    説明

    2024 年 12 月 1 日より、DigiCert は、新しいルートおよび中間証明書チェーンから SSL 証明書の発行を開始します。詳細については、「DigiCert ルート証明書の置き換えに関するお知らせ」をご参照ください。

    GlobalSign

    Alibaba Cloud

    説明

    2025 年 9 月 18 日より、Alibaba Cloud は新しいルート証明書と中間証明書を使用して、自社ブランドの SSL 証明書の発行を開始します。詳細については、「[お知らせ] Alibaba Cloud ブランド証明書のルート更新に関するお知らせ」をご参照ください。

    DigiCert ルート証明書の互換性

    オペレーティングシステムまたはブラウザ

    DigiCert Global Root CA (旧)

    DigiCert Global Root G2 (旧 - トランジショナル)

    DigiCert Global Root G2 (新規 - クロスルート)

    フィンガープリント

    a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436

    df3c24f9bfd666761b268073fe06d1cc8d4f82a4

    8bf7f178a745a11bac6ae5b586fc1838eadcb2cf

    Windows (インターネット)

    Windows XP SP3+

    Windows (内部ネットワーク)

    Windows 7+

    Windows 8+

    Windows 7+

    macOS

    Mac OS X 10.6+

    Mac OS X 10.10+

    Mac OS X 10.6+

    iOS

    iOS 4.0+

    iOS 7.0+

    iOS 4.0+

    Firefox

    Firefox 2+

    Firefox 32+

    Firefox 2+

    NSS

    NSS 3.11.8

    NSS 3.16.3

    NSS 3.11.8

    Android

    Android 1.1+

    Android 5.0+

    Android 1.1+

    Chrome

    Chrome 108 以降、Chrome は独自の信頼ストアを使用します。それ以前のバージョンは、オペレーティングシステムの信頼ストアに依存します。

    Java

    JRE 1.4.2_17+

    JRE 1.8.0_131+

    JRE 1.4.2_17+

    ルート証明書のインストール

    オペレーティングシステムへのルート証明書のインストール

    Windows

    以下の手順では、Windows 10 を例として説明します。

    1. Microsoft 管理コンソール (MMC) を開きます。

      Win+R キーを押して [ファイル名を指定して実行] ダイアログボックスを開きます。mmc と入力し、[OK] をクリックして MMC コンソールを開きます。

      image

    2. MMC コンソールに [証明書] スナップインを追加します。

      1. コンソール上部のメニューバーで、[ファイル] > [スナップインの追加と削除] を選択します。

        image

      2. [スナップインの追加と削除] ダイアログボックスで、左側の [利用できるスナップイン] リストから [証明書] を選択し、[追加] をクリックします。

        image

      3. [証明書スナップイン] ダイアログボックスで、[コンピューター アカウント] を選択し、[次へ] をクリックします。

      4. [コンピューターの選択] ダイアログボックスで、[ローカル コンピューター (このコンソールを実行しているコンピューター)] を選択し、[完了] をクリックします。

    3. ルート証明書をインポートします。

      1. MMC コンソールの左側のナビゲーションウィンドウで、[証明書 (ローカル コンピューター)] を展開します。

      2. [エンタープライズ信頼] などのインポート先フォルダを選択します。フォルダを右クリックし、[すべてのタスク] > [インポート] を選択します。

        image

        説明

        • [個人]:現在のユーザーまたはコンピューターの証明書を格納します。

        • [信頼されたルート証明機関]:オペレーティングシステムがデフォルトで信頼する CA のルート証明書を格納します。

        • [中間証明機関]:サーバー証明書を信頼されたルートにリンクする中間証明書を格納します。

        • [エンタープライズ信頼]:内部エンタープライズ CA の証明書を格納し、組織のネットワーク内でのみ信頼されます。

      3. 画面の指示に従って、証明書のインポートを完了します。

    macOS

    以下の手順では、macOS 12.5.1 を例として説明します。

    1. macOS システムLaunchpad を開きます。

      mmexport1677169900537

    2. Launchpad の検索ボックスに Keychain Access と入力し、[キーチェーンアクセス] をクリックします。

      mmexport1677169913886

    3. [キーチェーンアクセス] ページで、[証明書] タブをクリックします。

      image

    4. ダウンロードしたルート証明書を、キーチェーンアクセスの [証明書] タブの空いているエリアにドラッグします。macOS は自動的にルート証明書を検証します。

      説明

      ルート証明書をダウンロードするには、「ルート証明書のダウンロード」をご参照ください。

    5. 新しく追加されたルート証明書を右クリックし、[情報を見る] をクリックします。

    6. 証明書情報ページで、[常に信頼] を選択し、image アイコンをクリックします。

      image

    Linux

    Linux システムにルート証明書をインストールするための具体的なパスとコマンドは、ディストリビューションによって異なります。以下のセクションでは、CentOS/Red Hat および Ubuntu/Debian の例を示します。

    CentOS/Red Hat

    1. システム CA 証明書パッケージをインストールします。

      sudo yum install ca-certificates

    2. ルート証明書ファイルをシステムの信頼ソースディレクトリにコピーします。

      パス:/etc/pki/ca-trust/source/anchors/

    3. 証明書信頼ストアを更新します。

      sudo update-ca-trust extract

      システムは /etc/pki/tls/certs/ca-bundle.crt に信頼バンドルを再生成します。

    4. 証明書を検証します。OpenSSL を使用して、ご利用のドメインへの HTTPS 接続をテストします。

      openssl s_client -connect example.com:443 -CAfile /etc/pki/tls/certs/ca-bundle.crt
      説明

      確認のポイント:

      • 出力には、証明書チェーン情報が含まれている必要があります。

      • 接続が成功し、Verify return code: 0 (ok) で終了した場合、証明書は信頼されています。

    Ubuntu/Debian

    1. システム CA 証明書パッケージをインストールします。

      sudo apt install ca-certificates

    2. ルート証明書ファイルをシステム証明書ディレクトリにコピーします。

      パス:/usr/local/share/ca-certificates/

    3. 証明書信頼ストアを更新します。

      sudo update-ca-certificates

      システムは、新しい証明書をシステムルート証明書ファイル /etc/ssl/certs/ca-certificates.crt に自動的にマージします。

    4. 証明書を検証します。

      1. OpenSSL を使用して証明書ファイル自体を検証します。

        # 次のコマンドを使用して、証明書ファイルが信頼ストアにあるかどうかを確認します。your-certificate.crt をルート証明書ファイル名に置き換えてください。
openssl verify /usr/local/share/ca-certificates/your-certificate.crt

        出力が /usr/local/share/ca-certificates/your-certificate.crt: OK であれば、検証は成功です。

      2. シンボリックリンクを確認します。

        # ディレクトリに対応する .pem シンボリックリンクファイルが生成されているか確認します。your-certificate をルート証明書ファイル名に置き換えてください。
ls -la /etc/ssl/certs | grep your-certificate

    ブラウザへのルート証明書のインストール

    説明

    システムの信頼ストアを使用するブラウザ (Windows 上の Chrome、Edge、IE など) の場合、単一のブラウザではなくオペレーティングシステムにルート証明書をインポートすることを推奨します。このセクションの手順は、特定のブラウザのみにルート証明書を設定する必要があるシナリオに適用されます。

    Google Chrome

    説明

    このセクションでは、Windows 10 および Chrome 138.0.7204.102 (64 ビット) を例として説明します。このセクションでは、Windows 10 を例として説明します。

    1. Chrome ブラウザにルート証明書をインポートします。

      1. Chrome ブラウザを開き、右上隅の image アイコンをクリックして、[設定] を選択します。

      2. [設定] ページの左側のナビゲーションウィンドウで、[プライバシーとセキュリティ] をクリックします。

      3. 表示されたページで、[セキュリティ] > [証明書の管理] > [Windows からインポートされた証明書を管理] をクリックします。

      4. [証明書マネージャー] ウィンドウで、[信頼されたルート証明機関] タブに切り替えます。image

      5. 左下隅の [インポート] ボタンをクリックします。プロンプトに従ってルート証明書ファイルを選択し、インポートします。インポートが成功すると、[インポートに成功しました] というメッセージが表示されます。

    2. インポートを検証します。

      1. 対象のルート証明書が選択したパスに正常にインポートされたことを確認します。

      2. Chrome ブラウザを再起動します。

      3. 対象のウェブサイトにアクセスし、信頼されていない証明書 のプロンプトなどのセキュリティ警告が表示されなくなったことを確認します。

    Microsoft Edge

    説明

    このセクションでは、Windows 10 および Microsoft Edge 92.0.902.67 (64 ビット) を例として説明します。

    1. Edge ブラウザにルート証明書をインポートします。

      1. Edge ブラウザを開き、右上隅の image アイコンをクリックして、[設定] を選択します。

      2. [設定] ページで、[プライバシー、検索、サービス] タブを選択します。

      3. [セキュリティ] セクションまでスクロールし、[証明書の管理] をクリックします。Windows の [証明書マネージャー] ダイアログボックスが開きます。image

      4. [証明書] ウィンドウで、[信頼されたルート証明機関] タブに切り替えます。image

      5. 左下隅の [インポート] ボタンをクリックします。プロンプトに従ってルート証明書ファイルをインポートします。完了すると、[インポートに成功しました] というメッセージが表示されます。

    2. インポートを検証します。

      1. 対象のルート証明書が選択したパスに正常にインポートされたことを確認します。

      2. Edge ブラウザを再起動します。

      3. 対象のウェブサイトにアクセスし、信頼されていない証明書 のプロンプトなどのセキュリティ警告が表示されなくなったことを確認します。

    Mozilla Firefox

    説明

    このセクションでは、Windows 10 および Firefox 142.0.1 (64 ビット) を例として説明します。

    1. Firefox ブラウザにルート証明書をインポートします。

      1. Firefox ブラウザを開き、右上隅の image アイコンをクリックして、[設定] を選択します。

      2. [設定] ページで、[プライバシーとセキュリティ] タブをクリックします。

      3. [証明書] セクションまでスクロールし、[証明書を表示] をクリックします。[証明書マネージャー] ダイアログボックスが開きます。

        image

      4. [証明書マネージャー] で、[認証局] タブをクリックし、次に [インポート] ボタンをクリックします。image

      5. プロンプトに従ってルート証明書ファイルを選択し、インポートを完了します。

    2. インポートを検証します。

      1. [認証局] タブで、[証明書名] 列を確認し、選択したルート証明書が正常にインポートされたことを検証します。

      2. Firefox ブラウザを再起動します。

      3. 対象のウェブサイトにアクセスし、信頼されていない証明書 のプロンプトなどのセキュリティ警告が表示されなくなったことを確認します。

    Internet Explorer

    説明

    このセクションでは、Windows 10 および Internet Explorer 11.1.20348.0 を例として説明します。

    1. IE ブラウザにルート証明書をインポートします。

      1. Internet Explorer を開き、右上隅の image アイコンをクリックして、[インターネット オプション] を選択します。

      2. [インターネット オプション] ウィンドウで、[コンテンツ] タブをクリックします。

      3. [証明書] ボタンをクリックして、証明書管理インターフェイスを開きます。image

      4. [証明書] ウィンドウで、[信頼されたルート証明機関] タブを選択します。

        image

      5. 左下隅の [インポート] ボタンをクリックし、プロンプトに従ってルート証明書ファイルをインポートします。

    2. インポートを検証します。

      1. 対象のルート証明書が選択したパスに正常にインポートされたことを確認します。

      2. IE ブラウザを再起動します。

      3. 対象のウェブサイトにアクセスし、信頼されていない証明書 のプロンプトなどのセキュリティ警告が表示されなくなったことを確認します。

    リスク評価

    • セキュリティリスク

      • 信頼できないソース:ルート証明書は、公式または信頼できるチャネルからのみ入手してください。不明なソースからルート証明書をインストールすると、マルウェアの注入や中間者 (MITM) 攻撃につながる可能性があり、システムのセキュリティを著しく損ないます。

      • 操作ミス:証明書を間違った保存場所にインポートしたり、誤ったフォーマットの証明書ファイルをインポートしたりすると、システムの信頼チェーンが破壊されたり、アプリケーションの接続障害が発生したりする可能性があります。

    • 互換性とメンテナンスコスト

      • システム/アプリケーションのバージョン制限:一部のレガシーオペレーティングシステムやアプリケーションは、新しいルート証明書のアルゴリズムや標準をサポートしていない場合や、互換性のためにアップグレードが必要な場合があります。

      • ルート証明書の有効期限切れまたは変更:ルート証明書には有効期限があります。ルート証明書の有効期限が近づいている場合や、CA が新しいルート証明書に切り替える場合は、有効な信頼チェーンを維持するために、関連するすべてのクライアントでルート証明書を更新する必要があります。

    • 一括デプロイメントコスト

      • 多数の異種デバイスに手動でルート証明書をインストールするのは非効率的で、エラーが発生しやすくなります。一括デプロイメントと統一されたメンテナンスのためには、自動化スクリプトや構成/デバイス管理ツールを使用することを推奨します。

    よくある質問

    SSL 証明書の有効期限が切れた後、ルート証明書を再デプロイする必要がありますか?

    • 通常、必要ありません。

      サーバーの SSL 証明書を更新しても、クライアント上のルート証明書には影響しません。主要なブラウザやオペレーティングシステムにプリインストールされている信頼された CA のルート証明書については、OS やブラウザが更新メカニズムを通じて自動的に更新を処理します。手動で再デプロイする必要はありません。

    • 場合によっては、再デプロイが必要になることがあります。

      手動インストールが必要なクライアント (カスタム信頼ストアを持つモバイルアプリ、スタンドアロンの Java クライアント、IoT デバイスなど) では、次のような状況でルート証明書を再デプロイする必要がある場合があります。

      • SSL 証明書の更新時に証明書のブランドやタイプを変更し (例:DV から OV へ)、新しい証明書が異なるルートにチェーンアップする場合。

      • 元のルート証明書の有効期限が切れた場合、または CA が新しいルート証明書への切り替えを発表した場合。

      これらのシナリオでは、サーバーの証明書チェーンに一致する新しいルート証明書をダウンロードし、影響を受けるクライアントに手動でインストールする必要があります。

    中間証明書をインストールするにはどうすればよいですか?

    中間証明書のインポートプロセスは、ルート証明書のインポートと似ています。このドキュメントのルート証明書のインストールセクションの手順に従いますが、中間証明書に適した証明書ストアを選択してください。Windows では、これは通常、[中間証明機関] ストアです。Firefox では、[認証局] タブにインポートします。

    Java クライアントで HTTPS 接続エラーが発生するのはなぜですか?

    Java クライアントが HTTPS サービスにアクセスできない場合、原因は多くの場合、JRE の信頼ストア (cacerts) にルート証明書または中間証明書がないことです。トラブルシューティングと解決策については、「Java クライアントが HTTPS にアクセスできない」をご参照ください。