SSL証明書の更新時にCSRは再生成すべきですか？

CSRを再生成することを推奨します。同時に新しい秘密鍵も生成され、鍵のローテーションによるセキュリティ向上になります。秘密鍵の漏洩が疑われる場合は必ず新しいCSRと秘密鍵を生成してください。

旧証明書が有効な期間中に新しい証明書をインストールできますか？

はい、できます。旧証明書が有効な期間中（有効期限の数十日前から）に新しい証明書を発行・インストールすることを推奨します。インストール後は即座に新しい証明書が使われ始め、古い証明書と期間が重複しても問題ありません。

☎ 048-837-7778

SSL証明書 > FAQ／情報 > 更新されたSSL証明書のインストールについて

【SSL証明書】FAQ／情報

更新されたSSL証明書のインストールについて

Q: SSL証明書を更新した後もインストール作業は必要ですか？

はい、必要です。SSL証明書そのものに有効期限が組み込まれているため、新しい証明書を購入・発行するだけでは有効期限は更新されません。古い証明書と新しい証明書の差し替え（インストール作業）が必要です。

ページ更新日：2026/05/02

更新時も、インストール作業が必要

SSL証明書の更新後、新しいSSL証明書をWebサーバーへインストールいただく必要がございます。
SSL証明書そのものに有効期限が組み込まれているため、新しい証明書を購入・発行するだけでは有効期限は更新されません。
古い証明書と新しい証明書の差し替え（インストール作業）が必要です。

※ 2026年以降、SSL証明書の有効期限は最大47日程度まで短縮される予定です。自動更新の仕組み（ACME）の導入も検討してください。

更新インストールの流れ

更新用の SSL 証明書を当社フォームで申し込む（購入手順）
CSR を新規作成する（推奨）またはCSR を再利用する
DCV（ドメイン所有権確認）を行い、新しい証明書を取得する
新しいサーバー証明書・中間証明書を既存の証明書と差し替える
Webサーバーを再起動する
動作確認を行う（有効期限が新しくなっていること等）

CSRは再生成すべきか？

更新時に CSR（証明書署名要求）を再生成するかどうかの判断基準：

状況	推奨
一般的な更新	CSRを再生成することを推奨。同時に新しい秘密鍵も生成され、鍵のローテーションによるセキュリティ向上になります
秘密鍵の漏洩が疑われる場合	CSR を必ず再生成し、新しい秘密鍵を使ってください。旧証明書は失効（Revoke）することを検討してください
サーバー設定の変更が困難な場合	既存の CSR または秘密鍵を再利用することも可能です。ただし秘密鍵を長期間使い続けるのはセキュリティ上推奨しません

サーバー別の更新インストール手順

更新後のインストール手順は新規インストールと基本的に同じです。設定ファイルの証明書ファイルパスを新しいものに差し替えるか、ファイルを上書きします。

Apacheの場合

httpd.conf または ssl.conf の以下のディレクティブが指しているファイルを新しい証明書で上書きするか、ファイルパスを変更して再起動します。

SSLCertificateFile    /etc/ssl/certs/server.crt       ← 新しいサーバー証明書
SSLCertificateKeyFile /etc/ssl/private/server.key     ← 秘密鍵（再生成した場合は新しいもの）
SSLCertificateChainFile /etc/ssl/certs/intermediate.crt ← 中間証明書

systemctl restart apache2   # または httpd

詳細は Apacheへのインストール手順を参照してください。

Nginxの場合

ssl_certificate     /etc/nginx/ssl/server_chain.crt;  ← 新しいチェーン証明書（サーバー+中間）
ssl_certificate_key /etc/nginx/ssl/server.key;        ← 秘密鍵

systemctl reload nginx

詳細は Nginxへのインストール手順を参照してください。

IIS（Windows Server）の場合

新しい証明書を PFX ファイル形式でインポートし、IIS のサイトバインドで証明書を差し替えます。
詳細は IISへのインストール手順および PFXファイルの作成方法を参照してください。

Plesk / cPanelの場合

コントロールパネルの SSL/TLS 設定画面から、古い証明書を削除して新しい証明書を再インストールします。
詳細は Pleskへのインストール・cPanelへのインストールを参照してください。

更新後の動作確認チェックリスト

ブラウザで https://www.example.com にアクセスし、鍵マークが表示されることを確認
証明書の有効期限（有効期間の終わり）が新しい日付になっていることを確認
中間証明書が正しくインストールされていることを DigiCert Diagnostics Tool で確認
旧証明書が削除（または上書き）されていること
有効期限確認ツールで期限を確認

よくある質問

Q. 旧証明書が有効な期間中に新しい証明書をインストールできますか？: はい、できます。旧証明書が有効な期間中（有効期限の数十日前から）に新しい証明書を発行・インストールすることを推奨します。インストール後は即座に新しい証明書が使われ始めます。古い証明書と期間が重複しても問題ありません。
Q. 秘密鍵を再利用して更新した場合、セキュリティ上の問題はありますか？: 直ちに問題になるわけではありませんが、同じ秘密鍵を長期間使い続けるとリスクが高まります。特に秘密鍵の漏洩が疑われる場合は必ず新しい秘密鍵を生成してください。定期的な秘密鍵のローテーションを推奨します。
Q. サーバーを再起動せずに証明書を差し替えられますか？: Nginx は systemctl reload nginx（graceful reload）でダウンタイムなしに証明書を切り替えられます。Apache も apachectl graceful または systemctl reload apache2 で同様に対応できます。IIS はサイトの再起動が必要です。

FAQ／情報 SSL証明書