ルート証明書は、SSL/TLS 信頼チェーンの基盤であり、認証局 (CA) によって発行されたすべての下位証明書 (中間証明書およびサーバー証明書を含む) を検証します。主要なブラウザやオペレーティングシステムには、通常、信頼された CA のルート証明書がプリインストールされています。しかし、モバイルアプリ、Java クライアント、レガシーシステム、またはモノのインターネット (IoT) デバイスなどの環境では、ルート証明書が不足していると、HTTPS 接続の失敗や「安全でない」という警告が発生する可能性があります。このガイドでは、主要な CA ブランドのルート証明書のダウンロードリンクと、さまざまなクライアント向けのインストールガイドを提供し、完全な信頼チェーンを確立して SSL/TLS 通信のセキュリティと可用性を確保するのに役立ちます。
利用シーン
このトピックは、ルート証明書の手動インストールが必要なクライアント環境に適用されます。
モバイルアプリケーション:システムのルート証明書リストやブラウザのリストと同期しない、カスタムトラストストアを持つアプリ。
Java クライアント:独立した Java KeyStore (cacerts) を使用し、オペレーティングシステムのトラストストアに依存しないアプリケーション。
レガシーオペレーティングシステムまたはブラウザ:Windows XP や Android 4.x など、新しい CA のルート証明書がプリインストールされていない古いシステム。
IoT (モノのインターネット) デバイスおよび組み込みシステム:通常、限られたルート証明書セットしか含まないリソースに制約のあるデバイス。
企業イントラネット環境:パブリックトラストストアに含まれていないプライベート CA を使用するシステム。
特定のコンプライアンスまたはセキュリティポリシー:信頼された CA のリストを明示的に管理する必要がある環境。
最新のブラウザ (Chrome、Firefox、Safari、Edge など) およびオペレーティングシステム (Windows 10/11、macOS、Android 8 以降、iOS 12 以降など) では、DigiCert や GlobalSign などの主要な国際認証局によって発行された証明書を使用する場合、手動での操作は不要です。これらのルート証明書はプリインストールされており、オペレーティングシステムによって自動的に更新されます。
Android 4.4.2 などのレガシーオペレーティングシステムでは、完全な信頼チェーンを確保するために、対応するクロスルート証明書を手動でインストールしてください。
ルート証明書のダウンロード
企業の内部 CA からルート証明書をインストールする場合は、このステップをスキップして、直接ルート証明書のインストールステップに進んでください。
ブランド別ルート証明書のダウンロードリンク
サーバーで使用されている SSL 証明書のブランド (例:DigiCert や GeoTrust) および証明書タイプ (DV/OV/EV) に基づいて、適切なルート証明書をダウンロードします。たとえば、サーバーが DigiCert OV SSL 証明書を使用している場合は、対応する DigiCert OV ルート証明書をダウンロードしてください。
証明書ブランド | ルート証明書のダウンロード |
DigiCert | 説明 2024 年 12 月 1 日より、DigiCert ブランドの SSL 証明書は、新しいルート証明書と中間証明書のチェーンから発行されます。詳細については、「DigiCert ルート証明書の置き換えに関するお知らせ」をご参照ください。 |
GeoTrust | |
Rapid | |
GlobalSign | |
Alibaba Cloud | 説明 2025 年 9 月 18 日より、Alibaba Cloud は自社ブランドの SSL 証明書を新しいルート証明書と中間証明書を使用して発行を開始します。詳細については、「【お知らせ】Alibaba ブランド証明書のルート更新のお知らせ」をご参照ください。 |
DigiCert ルート証明書の互換性
オペレーティングシステムまたはブラウザ | DigiCert Global Root CA (旧) | DigiCert Global Root G2 (旧 - トランジショナル) | DigiCert Global Root G2 (新規 - クロスルート) |
フィンガープリント | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 | 8bf7f178a745a11bac6ae5b586fc1838eadcb2cf |
Windows (インターネット) | Windows XP SP3+ | ||
Windows (内部ネットワーク) | Windows 7+ | Windows 8+ | Windows 7+ |
macOS | Mac OS X 10.6+ | Mac OS X 10.10+ | Mac OS X 10.6+ |
iOS | iOS 4.0+ | iOS 7.0+ | iOS 4.0+ |
Firefox | Firefox 2+ | Firefox 32+ | Firefox 2+ |
NSS | NSS 3.11.8 | NSS 3.16.3 | NSS 3.11.8 |
Android | Android 1.1+ | Android 5.0+ | Android 1.1+ |
Chrome | Chrome 108 以降、Chrome は独自のトラストストアを使用します。それ以前のバージョンは、オペレーティングシステムのトラストストアに依存します。 | ||
Java | JRE 1.4.2_17+ | JRE 1.8.0_131+ | JRE 1.4.2_17+ |
ルート証明書のインストール
オペレーティングシステムへのルート証明書のインストール
Windows
以下の手順では、Windows 10 を例として説明します。
Microsoft 管理コンソール (MMC) を開きます。
Win+Rキーを押して [ファイル名を指定して実行] ダイアログボックスを開きます。mmcと入力し、[OK] をクリックして MMC コンソールを開きます。
MMC コンソールに [証明書] スナップインを追加します。
コンソール上部のメニューバーで、 を選択します。
[スナップインの追加と削除] ダイアログボックスで、左側の [利用できるスナップイン] リストから [証明書] を選択し、[追加] をクリックします。
[証明書スナップイン] ダイアログボックスで、[コンピューター アカウント] を選択し、[次へ] をクリックします。
[コンピューターの選択] ダイアログボックスで、[ローカル コンピューター (このコンソールを実行しているコンピューター)] を選択し、[完了] をクリックします。
ルート証明書をインポートします。
MMC コンソールの左側のナビゲーションウィンドウで、[証明書 (ローカル コンピューター)] を展開します。
[エンタープライズ信頼] などのインポート先フォルダを選択します。フォルダを右クリックし、 を選択します。
説明個人:現在のユーザーまたはコンピューターの証明書を格納します。
信頼されたルート証明機関:オペレーティングシステムがデフォルトで信頼する CA のルート証明書を格納します。
中間証明機関:サーバー証明書を信頼されたルートにリンクする中間証明書を格納します。
エンタープライズ信頼:組織のネットワーク内でのみ信頼される、企業の内部 CA の証明書を格納します。
画面の指示に従って、証明書のインポートを完了します。
macOS
以下の手順では、macOS 12.5.1 を例として説明します。
macOS の Launchpad を開きます。
Launchpad の検索ボックスに Keychain Access と入力し、[キーチェーンアクセス] をクリックします。
[キーチェーンアクセス] ページで、[証明書] タブをクリックします。
ダウンロードしたルート証明書を、キーチェーンアクセスの [証明書] タブの空いているエリアにドラッグします。macOS は自動的にルート証明書を検証します。
説明ルート証明書をダウンロードするには、「ルート証明書のダウンロード」をご参照ください。
新しく追加されたルート証明書を右クリックし、[情報を見る] をクリックします。
証明書情報ページで、[常に信頼] を選択し、
アイコンをクリックします。
Linux
Linux システムにルート証明書をインストールするための具体的なパスとコマンドは、ディストリビューションによって異なります。以下のセクションでは、CentOS/Red Hat および Ubuntu/Debian の例を示します。
CentOS/Red Hat
システム CA 証明書パッケージをインストールします。
sudo yum install ca-certificatesルート証明書をインポートします。ルート証明書ファイルをシステム証明書ディレクトリにアップロードします。
パス:
/etc/pki/ca-trust/source/anchors/証明書信頼ストアを更新します。
sudo update-ca-trust extractシステムは
/etc/pki/tls/certs/ca-bundle.crtに信頼バンドルを再生成します。証明書を検証します。OpenSSL を使用して HTTPS 接続をテストします。
openssl s_client -connect example.com:443 -CAfile /etc/pki/tls/certs/ca-bundle.crt説明確認のポイント:
出力には、証明書チェーン情報が含まれている必要があります。
接続が成功し、
Verify return code: 0 (ok)で終了した場合、証明書は信頼されています。
Ubuntu/Debian
システム CA 証明書パッケージをインストールします。
sudo apt install ca-certificatesルート証明書をインポートします。ルート証明書ファイルをシステム証明書ディレクトリにアップロードします。
パス:
/usr/local/share/ca-certificates/証明書信頼ストアを更新します。
sudo update-ca-certificatesシステムは、新しい証明書をシステムルート証明書ファイル
/etc/ssl/certs/ca-certificates.crtに自動的にマージします。証明書を検証します。
OpenSSL を使用して検証します。
# 次のコマンドを使用して、証明書ファイルが信頼ストアにあるかどうかを確認します。your-certificate.crt をルート証明書ファイル名に置き換えてください。 openssl verify /usr/local/share/ca-certificates/your-certificate.crt出力が
/usr/local/share/ca-certificates/your-certificate.crt: OKであれば、検証は成功です。シンボリックリンクを確認します。
# ディレクトリに対応する .pem シンボリックリンクファイルが生成されているか確認します。your-certificate をルート証明書ファイル名に置き換えてください。 ls -la /etc/ssl/certs | grep your-certificate
ブラウザへのルート証明書のインストール
システムのトラストストアを使用するブラウザ (Windows 上の Chrome、Edge、IE など) の場合、単一のブラウザではなく、オペレーティングシステムにルート証明書をインポートすることを推奨します。このセクションの手順は、特定のブラウザに対してルート証明書を構成する必要があるシナリオにのみ適用されます。
Google Chrome
このセクションでは、Windows 10 および Chrome 138.0.7204.102 (64 ビット) を例に説明します。
Chrome ブラウザにルート証明書をインポートします。
Chrome ブラウザを開き、右上隅の
アイコンをクリックして、[設定] を選択します。[設定] ページで、左側のナビゲーションウィンドウから [プライバシーとセキュリティ] をクリックします。
表示されたページで、 をクリックします。
[証明書マネージャー] ウィンドウで、[信頼されたルート証明機関] タブをクリックします。
左下隅の [インポート] ボタンをクリックします。プロンプトに従ってルート証明書ファイルを選択し、インポートします。完了すると [インポートに成功しました] というメッセージが表示されます。
インポートを検証します。
対象のルート証明書が選択したパスに正常にインポートされたことを確認します。
Chrome ブラウザを再起動します。
対象の Web サイトにアクセスし、「信頼されていない証明書」などのセキュリティ警告が表示されなくなったことを確認します。
Microsoft Edge
このセクションでは、Windows 10 および Microsoft Edge 92.0.902.67 (64 ビット) を例として説明します。
Edge ブラウザにルート証明書をインポートします。
Edge ブラウザを開き、右上隅の
アイコンをクリックして、[設定] を選択します。[設定] ページで、[プライバシー、検索、サービス] タブをクリックします。
[セキュリティ] セクションまでスクロールし、[証明書の管理] をクリックします。Windows の [証明書マネージャー] ダイアログボックスが開きます。
[証明書マネージャー] ウィンドウで、[信頼されたルート証明機関] タブをクリックします。
左下隅の [インポート] ボタンをクリックします。プロンプトに従ってルート証明書ファイルをインポートします。完了すると [インポートに成功しました] というメッセージが表示されます。
インポートを検証します。
対象のルート証明書が選択したパスに正常にインポートされたことを確認します。
Edge ブラウザを再起動します。
対象の Web サイトにアクセスし、「信頼されていない証明書」などのセキュリティ警告が表示されなくなったことを確認します。
Mozilla Firefox
このセクションでは、Windows 10 および Firefox 142.0.1 (64 ビット) を例として説明します。
Firefox ブラウザにルート証明書をインポートします。
Firefox ブラウザを開き、右上隅の
アイコンをクリックして、[設定] を選択します。[設定] ページで、[プライバシーとセキュリティ] タブをクリックします。
[証明書] セクションまでスクロールし、[証明書を表示] をクリックします。[証明書マネージャー] ダイアログボックスが開きます。
[証明書マネージャー] ウィンドウで、[認証局] タブをクリックし、[インポート] ボタンをクリックします。
プロンプトに従ってルート証明書ファイルを選択し、インポートを完了します。
インポートを検証します。
[認証局] タブで、[証明書名] 列を確認し、ルート証明書が正常にインポートされたことを検証します。
Firefox ブラウザを再起動します。
対象の Web サイトにアクセスし、「信頼されていない証明書」などのセキュリティ警告が表示されなくなったことを確認します。
Internet Explorer
このセクションでは、Windows 10 および Internet Explorer 11.1.20348.0 を例として説明します。
Internet Explorer にルート証明書をインポートします。
Internet Explorer を開き、右上隅の
アイコンをクリックして、[インターネット オプション] を選択します。[インターネット オプション] ウィンドウで、[コンテンツ] タブをクリックします。
[証明書] ボタンをクリックすると、「証明書」ウィンドウが開きます。
[証明書] ウィンドウで、[信頼されたルート証明機関] タブをクリックします。
左下隅の [インポート] ボタンをクリックします。プロンプトに従ってルート証明書ファイルをインポートします。
インポートを検証します。
対象のルート証明書が選択したパスに正常にインポートされたことを確認します。
Internet Explorer を再起動します。
対象の Web サイトにアクセスし、「信頼されていない証明書」などのセキュリティ警告が表示されなくなったことを確認します。
コストとリスク
セキュリティリスク
信頼できないソース:ルート証明書は、公式または信頼できるチャネルからのみ入手してください。不明なソースからルート証明書をインストールすると、マルウェアの注入や中間者攻撃につながる可能性があり、システムのセキュリティを著しく損なう恐れがあります。
操作エラー:証明書を間違った保存場所にインポートしたり、誤ったフォーマットの証明書ファイルをインポートしたりすると、システムの信頼チェーンが破壊されたり、アプリケーションの接続障害が発生したりする可能性があります。
互換性とメンテナンスのコスト
システム/アプリケーションのバージョン制限:一部のレガシーオペレーティングシステムやアプリケーションは、新しいルート証明書のアルゴリズムや標準をサポートしていない場合があり、互換性を確保するためにアップグレードが必要になることがあります。
ルート証明書の有効期限切れまたは変更:ルート証明書には有効期限があります。ルート証明書の有効期限が近づいている場合や、認証局 (CA) が新しい証明書を発行した場合は、有効な信頼チェーンを維持するために、関連するすべてのクライアントでルート証明書を更新する必要があります。
一括デプロイのコスト
多数の異種デバイスに手動でルート証明書をインストールするのは非効率的で、エラーが発生しやすくなります。一括デプロイと統一されたメンテナンスのためには、自動化スクリプトを開発したり、構成管理ツールやデバイス管理ツールを使用したりすることができます。
よくある質問
SSL 証明書の有効期限が切れた後、ルート証明書を再デプロイする必要がありますか?
置き換えは不要:
主要なブラウザやオペレーティングシステムにプリインストールされている、信頼された認証局 (CA) のルート証明書については、オペレーティングシステムまたはブラウザが自動的に更新を処理します。これらのクライアントでルート証明書を手動で再デプロイする必要はありません。
置き換えが必要:
組み込みのトラストストアを持つモバイルアプリ、スタンドアロンの Java クライアント、レガシーブラウザ、IoT デバイスなど、ルート証明書がプリインストールされていないクライアントでは、次のような状況でルート証明書を再デプロイする必要がある場合があります。
新しい SSL 証明書を購入する際に、証明書のブランドまたはタイプ (DV/OV/EV) を変更した場合。
元のルート証明書の有効期限が切れたか、CA が新しいルート証明書への切り替えを発表した場合。
これらのシナリオでは、サーバーの証明書チェーンに一致するルート証明書をダウンロードし、このトピックで説明されているように、影響を受けるクライアントに手動でインストールする必要があります。
中間証明書のインストール方法
中間証明書をインポートするプロセスは、ルート証明書をインポートするプロセスと似ています。このトピックの「ルート証明書のインストール」セクションの手順に従うことができます。対象のシステムまたはブラウザで、通常は「中間証明機関」または「認証局」である適切な証明書ストアを選択し、対応する中間証明書ファイルをインポートします。
Java クライアントが HTTPS にアクセスできない
Java クライアントが HTTPS サービスにアクセスできない場合、その原因は多くの場合、Java Runtime Environment (JRE) のトラストストアにルート証明書または中間証明書が不足していることです。詳細については、「Java クライアントが HTTPS にアクセスできない」をご参照ください。
DigiCert および GeoTrust 証明書がサポートするオペレーティングシステム
証明書ブランド | ルート証明書 | Windows | macOS X | Android | Java |
DigiCert DV 証明書 | 新しいルート証明書 (DigiCert Global Root G2) | Windows 8 以降 | OS X 10.7 以降 | Android 4.4.2 以降 | Java 1.8 以降 |
古いルート証明書 (DigiCert Global Root CA) | Windows 7 以降 | OS X 10.5 以降 | Android 2.3.3 以降 | Java 1.6.05 以降 | |
Rapid DV 証明書 | 新しいルート証明書 (DigiCert Global Root G2) | Windows 8 以降 | OS X 10.7 以降 | Android 4.4.2 以降 | Java 1.8 以降 |
GeoTrust OV および EV 証明書 | 古いルート証明書 (DigiCert Global Root CA) | Windows 7 以降 | OS X 10.5 以降 | Android 2.3.3 以降 | Java 1.6.05 以降 |
2023 年 3 月中旬より、DigiCert および GeoTrust ブランドの SSL 証明書は、新しいルート証明書である DigiCert Global Root G2 を通じて発行されます。詳細については、「お知らせ:DigiCert ルート証明書のアップグレード」をご参照ください。
Android の断片化のため、Android 4.4 から 5.0 の一部のバージョンでは互換性の問題が発生します。これらの問題は、通常、古いデバイスモデルに影響します。
一部の Java バージョンにはルート証明書が含まれていない場合があります。特定の環境を確認してご確認ください。