はじめに

インターネットで安全な通信をするために「サーバー証明書」は必要不可欠です。ただ単にサーバーが作るだけでなく、信頼できる第三者機関である認証局によって正式に発行されます。この発行プロセスが、ブラウザに「この通信は安全ですよ」という証明となり、鍵マークが表示される理由につながります。
本記事では、サーバー証明書がどのように発行されるのか、その手順をまとめていきます。

サーバー証明書発行までの流れ

1. サーバー側でCSR（証明書署名要求）を作成する

まず、サーバーの管理者（Webサイトの運営者）は、自分のサーバーで使う公開鍵と秘密鍵のペアを作成します。秘密鍵はサーバーだけが知っている秘密の鍵で、安全に保管され、公開鍵は誰にでも公開できる鍵です。

次に、公開鍵とサーバー情報（ドメイン名や会社名など）をまとめて「CSR（Certificate Signing Request）」というファイルを作成します。
このCSRは「この公開鍵を私のサーバー用に証明してください」と認証局に依頼するための申請書のようなものです。

2. 認証局（CA）にCSRを送って証明書の発行を依頼する

サーバー管理者は、このCSRを信頼できる認証局（CA）に提出します。
認証局は、この申請が正当かどうか、
・ドメインの所有権が本当に申請者にあるか
・申請者がその会社や組織を代表しているか（企業認証の場合）
を確認します。
このチェックは厳密で、認証局によって審査のレベルが異なります（無料のものから企業向けの厳しい認証まであります）。

3. 認証局がサーバー証明書を発行する

認証局が申請内容を確認・承認すると、以下の情報を含む「サーバー証明書」を発行します。
・サーバーの公開鍵
・サーバーの情報（ドメイン名や会社名など）
・認証局の署名（この証明書が正当であることを保証する電子署名）
この証明書は「この公開鍵は信頼できるサーバーのものです」と証明するデジタルな身分証明書です。

4. サーバー証明書をサーバーにインストールする

発行されたサーバー証明書をサーバーにインストールします。
Webサーバーは、この証明書と秘密鍵を使ってHTTPS通信を行ないます。

5. ブラウザがサーバー証明書を検証し、鍵マークを表示する

ユーザーがブラウザでWebサイトにアクセスすると、サーバーは自分のサーバー証明書をブラウザに送ります。

ブラウザは以下をチェックします。
・証明書が信頼できる認証局（ルートCAまたは中間CA）から発行されているか
・証明書の有効期限は切れていないか
・証明書のドメイン名がアクセス先のドメイン名と一致しているか
これらの条件がすべてクリアできれば、「このサイトは安全に通信できる」と判断し、アドレスバーに鍵マークを表示します。

まとめ

サーバー証明書の発行プロセスと検証の仕組みが、私たちの目に見える「鍵マーク」という形で安全性を保証しているのです。
最後までお読みいただき、ありがとうございました。

参考URL

https://laboradian.com/issuing-ssl-certificate/
https://www.cybertrust.co.jp/blog/ssl/knowledge/ssl-basics.html
https://www.ssl.ph/compare/ssl/datalibrary/contents06.html
https://www.value-domain.com/media/ssl-certificates/