中間証明書(CA証明書)とは?インストールが必要な理由とエラー対処
ページ更新日:2026/05/24
30秒で分かる:中間証明書
- 中間証明書とは?
- ルートCA と サーバー証明書(SSL証明書)の間に挟まる証明書。「中間CA証明書」「チェーン証明書」とも呼ぶ。
- なぜ必要?
- ブラウザ/OS が信頼しているのは「ルートCA」だけ。サーバーが中間証明書も配信しないと信頼チェーンが切れ、SSLエラーになる。
- どのサーバーで必要?
- 弊社販売の全SSL証明書で必要。Apache/Nginx/IIS/Plesk/cPanel いずれも設定が必要。
- 典型症状
- 「証明書チェーン不完全」「
NET::ERR_CERT_AUTHORITY_INVALID」「Safari/iOS でだけエラー」「Android 古い端末でエラー」など、ブラウザ依存で出方が違うのが特徴。 - 確認方法
- SSL証明書インストールチェッカー または Qualys SSL Labs で「Chain Issues」を確認。
openssl s_client -showcerts -connect example.com:443でも可。
弊社で販売中の全SSL証明書は、中間証明書のインストールが必要です。
中間証明書とは何か、なぜ必要なのか、インストール方法・チェーン確認・トラブル対処を解説します。
中間証明書とは
中間証明書(Intermediate Certificate)とは、ルート認証局(Root CA)とサーバー証明書(SSL証明書)の間に位置するデジタル証明書です。
「中間CA証明書」「CA証明書」「チェーン証明書」とも呼ばれます。
SSL証明書の信頼は「ルートCA → 中間CA → サーバー証明書」という証明書チェーン(信頼の連鎖)によって確立されます。
ブラウザはサーバーから送られてきた証明書チェーンをたどり、信頼済みのルートCAに到達できることを確認してから通信を許可します。
なぜ中間証明書が必要なのですか?
ルートCAの秘密鍵は高度な安全性が求められるため、オフライン環境に厳重に保管されており、日常的なSSL証明書の発行には使用されません。
そのため認証局は、ルートCAで署名した「中間CA」を介してSSL証明書を発行します。
この構造により、万が一中間CAが侵害されてもルートCAは安全なまま保てるため、セキュリティリスクを限定できるというメリットがあります。
| 種類 | 役割 | インストール場所 |
| ルート証明書(Root CA) | 信頼の起点。ブラウザにあらかじめ組み込まれている。 | ブラウザ・OS内蔵 |
| 中間証明書(Intermediate CA) | ルートCAとサーバー証明書をつなぐ。 | Webサーバーに設置が必要 |
| サーバー証明書(SSL証明書) | Webサイト(ドメイン)に対して発行される証明書。 | Webサーバーに設置が必要 |
中間証明書はどこから入手しますか?
SSL証明書の発行時に弊社または認証局からお送りするメールに、中間証明書の内容またはダウンロードURLが記載されています。
「SSL証明書発行メール」または「弊社からのご案内メール」の内容をご確認ください。
Apacheへの中間証明書のインストール
Apacheでは、SSL証明書と中間証明書を1つのファイルに連結してインストールするか、SSLCertificateChainFile(Apache 2.4.8以前)または証明書の連結ファイルを SSLCertificateFile に指定します。
# httpd.conf または ssl.conf SSLCertificateFile /etc/ssl/certs/your_domain.crt SSLCertificateKeyFile /etc/ssl/private/your_domain.key SSLCertificateChainFile /etc/ssl/certs/intermediate.crt # Apache 2.4.8以前 # Apache 2.4.8以降は SSLCertificateFile に連結ファイルを指定
※ インストール手順の詳細は ApacheにSSL証明書をインストール もご参照ください。
Nginxへの中間証明書のインストール
Nginxでは、サーバー証明書と中間証明書を1つのファイルに連結(サーバー証明書を先に記述)して ssl_certificate に指定します。
# nginx.conf ssl_certificate /etc/nginx/ssl/your_domain_fullchain.crt; # サーバー証明書+中間証明書の連結 ssl_certificate_key /etc/nginx/ssl/your_domain.key;
IISへの中間証明書のインストール
IIS(Windows Server)では、サーバー証明書を PFX 形式でインポートする際に、中間証明書も同梱されていれば自動的にローカルマシンの「中間証明機関」ストアへインストールされます。PFX 同梱なしで証明書を導入した場合は、中間証明書(CRT/CER)を「中間証明機関」へ手動インポートしてください。
詳細:IISへのインストール / PFXファイルの作成
中間証明書が正しく設定されているか確認する
インストール後は、以下のいずれかで証明書チェーンが正しく設定されているか確認できます。
- 弊社ツール:SSL証明書インストールチェッカー(FQDN指定でチェーン検証)
- DigiCert ツール:DigiCert SSL Installation Diagnostics Tool
- Qualys SSL Labs:SSL Labs で確認(「Chain Issues」欄に問題が表示)
- opensslコマンド:
openssl s_client -showcerts -connect example.com:443 -servername example.comでサーバーが返す証明書チェーンを直接確認
中間証明書まわりのよくあるトラブル
- Chrome では問題ないが Safari/iOS でエラー:中間証明書のインストール忘れ/順序ミス。Safari はチェーン構築を自分で補完しないため厳しい
- Nginx で中間証明書だけ別ファイル指定:Nginx は
ssl_certificateに「サーバー証明書 + 中間証明書」の連結ファイルを指定する必要あり。順序は サーバー証明書 → 中間証明書 - Apache 2.4.8 以降で SSLCertificateChainFile が無効に:警告は出るが動く場合あり。連結ファイルを
SSLCertificateFileに指定する形へ移行を - ロードバランサー/CDN を経由している:オリジンの設定が正しくても、LB / CDN 側で中間証明書を別途設定する必要がある場合あり(AWS ALB、CloudFront、Cloudflare 等)
- 中間証明書が古い/旧バージョン:認証局側の中間CA更新で旧中間証明書が無効化されるケース。新発行時に弊社から最新版をお送りします
- クロスルート中間証明書を使い続けている:以前は古いAndroid 対応のために「クロスルート」が提供されていましたが、現在は非推奨。現行の中間証明書のみを使用してください
- 「拡張子 .crt だが PEM ではなく DER」:認証局からダウンロードしたファイルがDER(バイナリ)の場合がある。
openssl x509 -inform DER -in xxx.crt -out xxx.pemで変換 - 中間証明書を root(ルート)と取り違えてインストール:「Root」「Intermediate」「Server」を順番に確認。ルートをサーバーから配信する必要はない(クライアント側にあるため)
よくある誤解
- ❌ ブラウザが自動的に中間証明書を取得してくれる
- ✅ ブラウザによる挙動の違いが大きく、当てにできません。Chrome は AIA(Authority Information Access)で取得を試みますが、Safari や古いブラウザは試みません。サーバー側で配信するのが必須です。
- ❌ ルート証明書もサーバーに置く必要がある
- ✅ 不要です。ルート証明書はクライアント(ブラウザ/OS)側にあらかじめインストールされているため、サーバーが配信する必要はありません(むしろチェーン長が無駄に伸びるため非推奨)。
- ❌ 中間証明書は更新時にも同じものを使い続けてよい
- ✅ CA の中間CA階層は更新されるため、SSL証明書を新規発行・更新するたびに最新の中間証明書を使用してください。更新時のインストール手順 参照。
- ❌ 中間証明書なしでも「ブラウザで見ると鍵マーク」だから大丈夫
- ✅ 一部のブラウザで偶然動いているだけです。API クライアント・モバイルアプリ・Java/Python の標準TLSスタック等は厳格にチェーン検証するため失敗します。
よくある質問
- Q. 中間証明書のインストールは必要ですか?
- A. はい、弊社で販売中の全SSL証明書は中間証明書のインストールが必要です。中間証明書がないと、一部のブラウザや端末でSSL証明書が信頼されず「証明書エラー」が表示されることがあります。
- Q. 中間証明書はどこから入手できますか?
- A. SSL証明書発行時に弊社または認証局からお送りするメールに、中間証明書の内容またはダウンロードURLが記載されています。「SSL証明書発行メール」または「弊社からのご案内メール」をご確認ください。
- Q. 中間証明書が正しく設定されているか確認する方法は?
- A. 弊社の SSL証明書インストールチェッカー、DigiCert SSL Installation Diagnostics Tool、Qualys SSL Labs のいずれかで確認できます。コマンドラインでは
openssl s_client -showcerts -connect example.com:443 -servername example.comでサーバーが返すチェーンを直接確認できます。 - Q. 中間証明書がないとどんなエラーが出ますか?
- A. Chromeでは
NET::ERR_CERT_AUTHORITY_INVALID、Safari/iOSでは「このWebサイトのID情報を検証できません」、FirefoxではSEC_ERROR_UNKNOWN_ISSUERなどのエラーが表示されます。Chromeだけ動いてSafariでエラーになる場合、ほぼ間違いなく中間証明書のインストール忘れか順序ミスです。 - Q. Nginxで中間証明書はどう設定しますか?
- A. Nginxではサーバー証明書と中間証明書を1つのファイルに連結し(サーバー証明書を先に記述)、その連結ファイルを
ssl_certificateに指定します。順序を逆にするとチェーンが構築できません。 - Q. Apache 2.4.8以降で SSLCertificateChainFile は使えますか?
- A. Apache 2.4.8以降では
SSLCertificateChainFileは廃止予定の警告が出ます。代わりに、サーバー証明書と中間証明書を連結したファイルをSSLCertificateFileに指定する方式へ移行してください。 - Q. クロスルート中間証明書は今でも必要ですか?
- A. 現在は非推奨です。以前は古いAndroid端末の対応範囲を広げる目的で提供されていましたが、現行ブラウザ・OSは標準のルート証明書ストアに最新ルートCAが含まれているため不要です。現行の中間証明書のみを使用してください。
- Q. ロードバランサーやCDNを使っている場合、中間証明書はどこに設定しますか?
- A. TLS終端しているレイヤー(ALB/CLB/CloudFront/Cloudflare/nginxリバプロ等)に設定します。オリジンサーバーの設定が正しくても、TLS終端側で中間証明書が不足しているとブラウザにはチェーン不完全と認識されます。各レイヤーの証明書管理ドキュメントを確認してください。