SSL証明書の更新時にCSRは再生成すべきですか？

CSRを再生成することを推奨します。同時に新しい秘密鍵も生成され、鍵のローテーションによるセキュリティ向上になります。秘密鍵の漏洩が疑われる場合は必ず新しいCSRと秘密鍵を生成してください。

旧証明書が有効な期間中に新しい証明書をインストールできますか？

はい、できます。旧証明書が有効な期間中（有効期限の数十日前から）に新しい証明書を発行・インストールすることを推奨します。インストール後は即座に新しい証明書が使われ始め、古い証明書と期間が重複しても問題ありません。

☎ 048-837-7778

SSL証明書 > FAQ／情報 > 更新/再発行されたSSL証明書のインストール手順(Apache/Nginx/IIS/Plesk/cPanel)

【SSL証明書】FAQ／情報

更新されたSSL証明書のインストールについて

Q: SSL証明書を更新した後もインストール作業は必要ですか？

はい、必要です。SSL証明書そのものに有効期限が組み込まれているため、新しい証明書を購入・発行するだけでは有効期限は更新されません。古い証明書と新しい証明書の差し替え（インストール作業）が必要です。

ページ更新日：2026/05/23

更新・再発行のたびに、インストール作業が必要

SSL証明書の更新（次期分の購入）後も、契約期間中の 再発行（同一注文を最新証明書に差し替え）後も、新しいSSL証明書をWebサーバーへインストールいただく必要がございます。
SSL証明書そのものに有効期限が組み込まれているため、新しい証明書を購入・発行するだけでは有効期限は更新されません。
古い証明書と新しい証明書の差し替え（インストール作業）が必要です。

📌 有効期限短縮で「再発行」の頻度が増えています: 2026年2月25日よりデジサート系SSL証明書の最長有効期限は199日に短縮されました（2027年・2029年にさらに短縮予定）。1年プラン・複数年プランいずれの場合も、ご契約満了日までは無償の再発行で運用していただきます。再発行のたびに本ページの「インストール作業」が必要です。詳しくは SSL証明書の有効期限の短縮についてをご参照ください。自動更新の仕組み（ACME）の導入もご検討ください。

更新／再発行インストールの流れ

更新の場合は更新用の注文、再発行の場合は再発行フォームから申請する（購入手順）
CSR を新規作成する（推奨）または既存の CSR を再利用する
DCV（ドメイン所有権確認）を行い、新しい証明書を取得する
新しいサーバー証明書・中間証明書を既存の証明書と差し替える
Webサーバーを再起動する
動作確認を行う（有効期限が新しくなっていること等）

CSRは再生成すべきか？

更新／再発行時に CSR（証明書署名要求）を再生成するかどうかの判断基準：

状況	推奨
一般的な更新	CSRを再生成することを推奨。同時に新しい秘密鍵も生成され、鍵のローテーションによるセキュリティ向上になります
有効期限短縮による再発行	同一注文での再発行は、既存の CSR を再利用する運用が一般的です。ただし、定期的な鍵ローテーションのため、新しい CSR ・秘密鍵を生成いただくのも有効です
秘密鍵の漏洩が疑われる場合	CSR を必ず再生成し、新しい秘密鍵を使ってください。旧証明書は失効（Revoke）することを検討してください
サーバー設定の変更が困難な場合	既存の CSR または秘密鍵を再利用することも可能です。ただし秘密鍵を長期間使い続けるのはセキュリティ上推奨しません

サーバー別の更新／再発行インストール手順

更新・再発行後のインストール手順は新規インストールと基本的に同じです。設定ファイルの証明書ファイルパスを新しいものに差し替えるか、ファイルを上書きします。

Apacheの場合

httpd.conf または ssl.conf の以下のディレクティブが指しているファイルを新しい証明書で上書きするか、ファイルパスを変更して再起動します。

SSLCertificateFile    /etc/ssl/certs/server.crt       ← 新しいサーバー証明書
SSLCertificateKeyFile /etc/ssl/private/server.key     ← 秘密鍵（再生成した場合は新しいもの）
SSLCertificateChainFile /etc/ssl/certs/intermediate.crt ← 中間証明書

systemctl restart apache2   # または httpd

詳細は Apacheへのインストール手順を参照してください。

Nginxの場合

ssl_certificate     /etc/nginx/ssl/server_chain.crt;  ← 新しいチェーン証明書（サーバー+中間）
ssl_certificate_key /etc/nginx/ssl/server.key;        ← 秘密鍵

systemctl reload nginx

詳細は Nginxへのインストール手順を参照してください。

IIS（Windows Server）の場合

新しい証明書を PFX ファイル形式でインポートし、IIS のサイトバインドで証明書を差し替えます。
詳細は IISへのインストール手順および PFXファイルの作成方法を参照してください。

Plesk / cPanelの場合

コントロールパネルの SSL/TLS 設定画面から、古い証明書を削除して新しい証明書を再インストールします。
詳細は Pleskへのインストール・cPanelへのインストールを参照してください。

更新・再発行後の動作確認チェックリスト

ブラウザで https://www.example.com にアクセスし、鍵マークが表示されることを確認
証明書の有効期限（有効期間の終わり）が新しい日付になっていることを確認
中間証明書が正しくインストールされていることを DigiCert Diagnostics Tool で確認
旧証明書が削除（または上書き）されていること
有効期限確認ツールで期限を確認

よくある質問

Q. 旧証明書が有効な期間中に新しい証明書をインストールできますか？: はい、できます。旧証明書が有効な期間中（有効期限の数十日前から）に新しい証明書を発行・インストールすることを推奨します。インストール後は即座に新しい証明書が使われ始めます。古い証明書と期間が重複しても問題ありません。
Q. 秘密鍵を再利用して更新した場合、セキュリティ上の問題はありますか？: 直ちに問題になるわけではありませんが、同じ秘密鍵を長期間使い続けるとリスクが高まります。特に秘密鍵の漏洩が疑われる場合は必ず新しい秘密鍵を生成してください。定期的な秘密鍵のローテーションを推奨します。
Q. サーバーを再起動せずに証明書を差し替えられますか？: Nginx は systemctl reload nginx（graceful reload）でダウンタイムなしに証明書を切り替えられます。Apache も apachectl graceful または systemctl reload apache2 で同様に対応できます。IIS はサイトの再起動が必要です。

FAQ／情報 SSL証明書