NginxにSSL証明書をインストールするにはどうすればよいですか？

①CSRと秘密鍵の生成（openssl req コマンド）→②証明書の申し込み・取得→③サーバー証明書と中間CA証明書を結合（catコマンド）→④Nginx設定ファイルでssl_certificateとssl_certificate_keyを指定→⑤nginx -tで構文確認後にreload、という流れでインストールします。

Nginxで中間CA証明書はどう設定しますか？

Nginxではサーバー証明書と中間CA証明書を1つのファイルに結合して使用します。「cat サーバー証明書.crt 中間CA.crt > chain.crt」のようにcatコマンドで結合し、ssl_certificate ディレクティブにこのチェーンファイルを指定します。順番はサーバー証明書→中間CA証明書の順です。

Nginxで推奨されるTLSの設定は？

ssl_protocols に TLSv1.2 TLSv1.3 を指定し、古いSSLv3やTLS1.0・1.1は無効にすることを推奨します。ssl_ciphers には HIGH:!aNULL:!MD5 などを指定し、弱い暗号スイートを除外します。あわせてHSTSヘッダー（Strict-Transport-Security）の設定も推奨されます。

☎ 048-837-7778

SSL証明書 > FAQ／情報 > NginxへのSSL証明書インストール手順

【SSL証明書】FAQ／情報

NginxへのSSL証明書インストール手順

ページ更新日：2026/04/24

NginxサーバーへSSL証明書をインストールする手順を解説します。
CSR生成から証明書ファイルの配置、Nginx設定ファイルの編集、動作確認までの流れをまとめています。

大まかな流れ

CSR（証明書署名要求）と秘密鍵の生成
SSL証明書の申し込み・取得
証明書ファイルの配置
Nginx設定ファイルの編集
Nginxの再起動・動作確認

ステップ1：CSRと秘密鍵の生成

OpenSSLを使ってCSRと秘密鍵を同時に生成します。

openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr

入力を求められる項目（Countryは JP、Common Nameにはドメイン名を入力）：

Country Name (2 letter code) [AU]: JP
State or Province Name: Tokyo
Locality Name: Shinjuku-ku
Organization Name: Slogical Co.,Ltd.
Organizational Unit Name: (空白でOK)
Common Name: www.example.com
Email Address: (空白でOK)

生成された server.key は秘密鍵です。外部に漏れないよう厳重に管理してください。
server.csr の内容を証明書申し込みフォームに貼り付けます。

ステップ2：証明書の申し込み・取得

当社注文フォームで server.csr の内容を入力・申し込みを行ってください。
DCV（ドメイン所有権確認）が完了すると、認証局から証明書ファイル（.crt や .pem）が発行されます。
多くの場合、以下のファイルが提供されます：

サーバー証明書（例：www_example_com.crt）
中間CA証明書（例：intermediate.crt）

ステップ3：証明書ファイルの配置と結合

Nginxでは、サーバー証明書と中間CA証明書を1つのファイルに結合して使用します（チェーン証明書）。

cat www_example_com.crt intermediate.crt > /etc/nginx/ssl/server_chain.crt

順番は「サーバー証明書 → 中間CA証明書」の順にしてください。
秘密鍵も同じディレクトリに配置します：/etc/nginx/ssl/server.key
ディレクトリのパーミッションは chmod 700 /etc/nginx/ssl、鍵ファイルは chmod 600 を推奨します。

ステップ4：Nginx設定ファイルの編集

/etc/nginx/conf.d/ または /etc/nginx/sites-available/ 配下の設定ファイルを編集します。

server {
    listen 443 ssl;
    server_name www.example.com;

    ssl_certificate     /etc/nginx/ssl/server_chain.crt;
    ssl_certificate_key /etc/nginx/ssl/server.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;

    # HSTSの設定（任意・推奨）
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    root /var/www/html;
    index index.html;
}

# HTTPをHTTPSにリダイレクト
server {
    listen 80;
    server_name www.example.com;
    return 301 https://$host$request_uri;
}

ステップ5：設定確認・再起動

設定ファイルの構文チェックを行ってから再起動します。

nginx -t
systemctl reload nginx

nginx -t で syntax is ok と表示されれば問題ありません。
ブラウザで https://www.example.com にアクセスして、鍵マークが表示されることを確認してください。

よくあるトラブル

症状	確認ポイント
証明書エラー「SEC_ERROR_UNKNOWN_ISSUER」	中間CA証明書が結合されていない可能性。`server_chain.crt` を再確認してください。
「SSL_ERROR_RX_RECORD_TOO_LONG」	HTTPポート（80番）にHTTPSでアクセスしている可能性。listen設定を確認してください。
秘密鍵と証明書が一致しないエラー	CSR生成時の秘密鍵と証明書が対応していない場合に発生。正しい `server.key` を使用してください。
サイトシールが動作しない	シール用JavaScriptの設定が必要です。認証局から提供されるコードをHTMLに貼り付けてください。

FAQ／情報 SSL証明書