## この記事でわかること - Xserver の独自 SSL(無料 Let's Encrypt)を有効化する具体的な手順 - 自動更新が確実に動く前提条件 - 「反映されない」「警告が消えない」時の代表的な原因と対処 - 商用 SSL(独自 SSL 持ち込み)に切り替えたい場合の進め方 SSL の役割や仕組みの基礎は [SSL とは|Web 担当者向けにわかりやすく解説](/blog/ssl-basics-smb) で整理しています。 ## Xserver の SSL は基本的に「ボタン 1 つで有効化」できる Xserver には **無料独自 SSL**(Let's Encrypt)と **有料独自 SSL**(CoreSSL、SectigoSSL など)の 2 系統があります。コーポレートサイト・ランディングページ用途なら、無料独自 SSL で十分です。EV 証明書相当のブランド表示や組織情報を載せたい場合に限り、有料独自 SSL を検討します。 無料独自 SSL は、サーバーパネルから対象ドメインを選んでチェックボックスを入れるだけで有効化できます。所要時間は **1 分〜数十分**(反映まで時間差あり)。 ## 無料独自 SSL の設定手順 ![Xserver 無料独自 SSL 設定の 5 ステップ](/blog/xserver-ssl-setup/setup-steps.svg) ### ステップ 1: サーバーパネルにログイン Xserver アカウントから「サーバー管理」→ 該当のサーバー ID を選択 → 「サーバーパネル」を開きます。 ### ステップ 2: 「SSL 設定」を開く ドメインカテゴリ内の「SSL 設定」をクリック。 ### ステップ 3: 対象ドメインを選択 SSL を有効化したいドメインを選びます。複数ドメインを Xserver で管理している場合、ドメインごとにこの作業が必要です。 ### ステップ 4: 「独自 SSL 設定追加」タブ タブを切り替えて、「サイト名(example.co.jp など)」「CSR 情報(自動生成)」を確認し、「確認画面へ進む」→ 「追加する」をクリック。 ### ステップ 5: 反映を待つ 設定追加から実際に証明書が動くまで、Xserver のキューに依存して **数分〜数十分**待ちます。「設定中」「反映待ち」と表示される間は、ブラウザでアクセスすると一時的に警告が出るので慌てないでください。 ## 反映されない・警告が消えない時の代表的な原因 ![反映されない・警告が消えない時の代表的な 4 原因](/blog/xserver-ssl-setup/troubleshooting.svg) ### 原因 1: DNS が Xserver を向いていない 「ドメインの所有確認」のために、認証局はドメインの A レコード or NS レコードを参照します。ドメイン側の DNS が Xserver の IP / NS を向いていないと、認証チャレンジが通らず発行が失敗します。 確認方法: お名前.com 等のドメイン管理画面で、ネームサーバーが `ns1.xserver.jp` 〜 `ns5.xserver.jp` になっているかをチェック。Cloudflare や Route 53 を併用している場合は、A レコードが Xserver の IP を指しているか確認します。 ### 原因 2: ドメイン取得から 24 時間以内 新規取得直後のドメインは、DNS の伝播に時間がかかります。SSL 設定を試みても認証チャレンジが反映されないことがあります。**24 時間後に再試行**するのが安全です。 ### 原因 3: WAF で `.well-known/acme-challenge/` がブロックされている Xserver の WAF や `.htaccess` の設定によっては、認証ファイル配置パスがブロックされる場合があります。`.htaccess` で `.well-known` ディレクトリに対するアクセス制限が無いかを確認してください。 ### 原因 4: ブラウザ側のキャッシュ 正しく反映されているのに、ブラウザに古い証明書情報がキャッシュされて警告が消えないケース。**ブラウザのキャッシュをクリア → 全部のタブ閉じる → 再アクセス**で解消することが多いです。 ## 自動更新の前提と注意点 Xserver の無料独自 SSL は、**証明書の有効期限が近づいたら自動的に更新される**仕組みです。Xserver 側で更新ジョブが回っているため、利用者側で cron 等を設定する必要はありません。 ただし注意点が 2 つあります。 ### 注意 1: ドメイン側の設定を変えると更新が止まる ネームサーバーを Xserver 以外に切り替えた、A レコードを書き換えた、といった変更があると、更新時の認証チャレンジが失敗します。**DNS 構成を変えた直後は SSL の自動更新が動くか必ず確認**してください。 ### 注意 2: 実は更新失敗していることに気付かない Xserver の管理画面に「更新失敗」のメッセージが表示されていても、運用担当者が管理画面に普段ログインしない場合、気付かれずに期限切れになることがあります。 外部監視で期限を見張ると確実です。[SSL 証明書 単発チェック](/ssl/check) では、外部視点で発行済み証明書の有効期限を確認できます。期限の 30 日前にアラートが届く仕組みを別途用意しておくと、Xserver 側のトラブルにも気付けます。 ## 有料独自 SSL(持ち込み)に切り替える場合 商用 SSL(CoreSSL、SectigoSSL など)に切り替えたい場合、または既に取得済みの SSL 証明書を持ち込みたい場合の手順です。 1. サーバーパネル → 「SSL 設定」 → 「独自 SSL 証明書のインストール」タブ 2. 「証明書(CRT 形式)」「秘密鍵(KEY 形式)」「中間証明書(CA バンドル)」を貼り付け 3. 「確認画面へ進む」→ 「インストールする」 中間証明書を貼り忘れると、一部の OS / ブラウザで「認証局が信頼されていません」エラーが出ます。インストール後は必ず外部から証明書チェーンの完全性を確認してください。 商用 SSL の自動更新は ACME プロトコル経由ではないため、原則として**手動更新**になります。期限管理の現実解は [SSL 自動更新の仕組みと現実解](/blog/ssl-renewal-automation) で解説しています。 ## まとめ - Xserver の無料独自 SSL は「サーバーパネル → SSL 設定 → 独自 SSL 設定追加」で 1 分で開始可能 - 反映までは数分〜数十分の時間差。慌てない - DNS が Xserver を向いていない、`.well-known/acme-challenge/` がブロックされる、の 2 点が代表的な失敗原因 - 自動更新は Xserver 側で動くが、**外部監視を別途用意**しないと壊れていることに気付かない - 商用 SSL を使う場合は中間証明書のインストール忘れと、手動更新の運用設計が必要 ## まずは現状を把握しましょう Xserver で運用中のサイトの SSL 状態は、ドメイン番人の [SSL 証明書 単発チェック](/ssl/check) で 30 秒で確認できます。「Xserver のメール認証も合わせて点検したい」場合は [Xserver でのメール認証(SPF / DKIM / DMARC)設定](/blog/xserver-email-auth-setup) も併読をどうぞ。 複数ドメインの棚卸しから自動更新の確実な仕込みまで任せたい場合は、[SSL 棚卸し・自動更新支援](/ssl)(5 万円〜)でご相談ください。具体的なお問い合わせは [お問い合わせフォーム](/contact) からどうぞ。