Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む

Salesforce がサポートする SSL 証明書

公開日: Jul 29, 2025
説明

Salesforceは、アウトバウンドメッセージや Apex コールアウトなどの SSL 通信で、信頼できるルート証明機関(CA)によって署名された証明書のみを信頼します。自己署名証明書は使用できません。 

解決策
クライアントとしての Salesforce

アウトバウンドメッセージ、代理認証要求、または Apex コールアウトを安全な / SSL エンドポイント (https://myintegration.acme.com など) に送信する場合、 (クライアントとして機能する) Salesforce.com 組織は、リンクに示すリストに含まれているルート証明機関(CA)によって署名された証明書を提示するときは、 (サーバとして機能する) ターゲットホストのみを信頼します。つまり、このシナリオでは自己署名証明書はターゲットホストで使用できません。

注:
Salesforce はルート認証局 (CA) 証明書のみを信頼し、例外の事例はほとんどありません。 Salesforce の証明書信頼ポリシーでは、サーバ証明書チェーンとクライアント証明書チェーンに、サーバ証明書とクライアント証明書とチェーンのルート証明書の間に存在するすべての中間証明書を含める必要があります。Salesforce は、中間証明書をその信頼リストに追加する要求を受け入れません。Salesforce は、一般的に信頼できるルート証明書を主に信頼しますが、すべてを信頼するわけではありません。 Salesforce が信頼するルート CA 証明書のアウトバウンドメッセージング SSL CA 証明書のリストを確認します。

相互認証 / 双方向 SSL を使用する場合、Salesforce.com はターゲットホストで設定されていれば、(ターゲットサーバのキーストアにインストールされている等)、自己署名証明書をターゲットホストへ提示することができます。
(ターゲットホストはSalesforce に CA 署名証明書を提示する必要があります)


サーバとしての  Salesforce

Salesforce 組織が SAML を使用してシングルサインオンを有効にしている場合、組織はサービスプロバイダ (SP) の役割を果たします。 この場合、Salesforceはサーバとして機能し、設定されたアイデンティティプロバイダ (IdP) はクライアントとして動作し、自己署名証明書を提示することができます。


クライアント認証

Salesforce は、アウトバウンドメッセージ、代理認証要求、SAML アサーション (SP および IdP 開始フローの両方) を送信するときに、同じ CA 署名付き証明書を提示します。CA 署名付き証明書は [設定] | [開発] | [API] | [クライアント証明書] からダウンロードすることができます。

一方、Apex コールアウトは ([設定] | [セキュリティのコントロール] | [証明書と鍵の管理] の一覧から) どの証明書を Salesforce がターゲットホストに提示するかを指定します。 自分自身のドメイン (たとえば、mycompany.com など) でルートされたインスタンスのために、管理する証明書の共通名を使用する必要があります。 salesforce.com ドメインで証明書を取得する必要はありません。


利用可能な SSL ツール

1. サードパーティのサイト Digicert は、SSL ハンドシェイク中に返されたすべての証明書をグラフィカルに表示します
- ハンドシェイクで返された証明書の詳細については、次の OpenSSL コマンドを使用します:
  
openssl s_client -showcerts -connect <host>:<port>

2. SSL 証明書をデコードするには、SSL Shopper を使用します
ナレッジ記事番号

000385468

 
読み込み中
Salesforce Help | Article