「証明書更新後にHTTPSがつながらなくなった」
「期限は更新したはずなのに通信エラーが出る」
「夜間作業後、翌朝に障害が発覚した」
証明書更新は一見単純に見えますが、確認漏れがあると即障害に直結します。
本記事では、実務でよくある失敗を防ぐための証明書更新チェックリストを、 更新前・更新作業・更新後のフェーズ別に整理します。
目次
なぜ証明書更新は失敗しやすいのか
- 有効期限だけを見て安心してしまう
- 中間証明書を意識していない
- 複数機器(FW/LB/Web)にまたがる
証明書は1ファイルではなく「チェーン」で成り立っている点が最大の落とし穴です。
【更新前】事前チェックリスト
① 対象システムの洗い出し
- Webサーバ
- ロードバランサ
- FW / プロキシ
- API / mTLS通信
どこでSSL/TLSが終端しているかを必ず明確にします。
② 現在の証明書情報確認
openssl s_client -connect example.com:443- 有効期限(Not After)
- CN / SAN
- 証明書チェーン構成
③ 更新方式の確認
- 新規発行か更新か
- 証明書の鍵長・アルゴリズム変更有無
鍵を更新するかどうかで影響範囲が変わります。
【更新作業】実施時チェックリスト
④ 中間証明書の同時更新
- サーバ証明書のみ更新していないか
- 中間CAが最新か
中間証明書不足は非常に多い失敗例です。
⑤ 証明書と秘密鍵の組み合わせ確認
openssl x509 -noout -modulus -in server.crt | openssl md5
openssl rsa -noout -modulus -in server.key | openssl md5両者のハッシュ値が一致していることを確認します。
⑥ 適用箇所の反映確認
- VirtualHost / Listener 設定
- LB配下すべてのノード
一部ノードだけ古い証明書は典型的なトラブルです。
【更新後】必須確認チェックリスト
⑦ 外部からの接続確認
openssl s_client -connect example.com:443- Verify return code: 0 (ok)
- 新しい有効期限になっているか
⑧ ブラウザ・複数端末確認
- 社内端末
- 社外端末
- モバイル環境
OSやブラウザ差異で問題が顕在化することがあります。
⑨ FW・LBログ確認
- SSLハンドシェイク失敗ログ
- 証明書関連エラー
よくある失敗パターン
- 中間証明書を設定していない
- 証明書は更新したが再起動していない
- 別環境(検証/本番)で混同
実務でのおすすめ運用ルール
- 期限30日前にアラート
- 更新手順書のテンプレ化
- 更新後チェックを必須化
属人化を防ぐことが最大の安定化ポイントです。
結果例(正しく更新できた場合)
- 証明書警告なし
- HTTPS通信安定
- API通信エラー解消
まとめ
- 証明書更新は「チェーン」で考える
- 更新前・中・後の確認が重要
- openssl確認は必須
証明書更新は作業自体より確認が重要です。 本チェックリストを使えば、更新作業による通信断はほぼ防げます。
あわせて読みたい
SSL/TLS通信が失敗する原因とは?【証明書エラー・ハンドシェイク失敗の診断手順】
「HTTPSに接続できない」「証明書エラーが出て通信が確立しない」「FWやLBを通すとSSL通信だけ失敗する」 これらのトラブルは、SSL/TLS通信の仕組みと証明書の役割を理…
あわせて読みたい
SSLインスペクションが通信障害を起こす理由とは?【仕組み・失敗パターン・回避策】
「SSLインスペクションを有効にしたら通信ができなくなった」「特定のWebサイトやAPIだけ接続できない」「アプリ通信が突然失敗するようになった」 これらのトラブルは…
あわせて読みたい
VPN の種類と仕組み(IPSec / SSL / OpenVPN)
VPN(Virtual Private Network:仮想専用線)は、インターネットなどの公衆ネットワークを通じて、安全にデータをやり取りするための技術です。 企業ネットワークの拠点…
あわせて読みたい
中間証明書不足で通信が失敗する理由とは?【SSL/TLSが突然つながらない原因】
「一部の端末だけHTTPSに接続できない」「ブラウザでは警告が出るが、他の環境では問題ない」「証明書は正しく設定したはずなのに通信が失敗する」 これらのトラブルの…