Loading

コミュニティドメインに存在する HTTPS 証明書の使用

公開日: May 6, 2026
説明

概要

Salesforce Community Cloud は、カスタムドメイン (mycompany.force.com ではなく、community.mycompany.com) にある組織での各コミュニティの実行をサポートします。セキュリティを確保するために、ユーザのブラウザと組織のコミュニティ間の通信は HTTPS 経由 (HTTP over TLS など) で行われます。カスタムドメインでコミュニティを実行する場合は、コミュニティのカスタムドメインと一致する HTTPS 証明書をアップロードする必要があります。HTTPS 証明書は、一般に対してコミュニティドメインの正当性を保証するもので、アップロードする直前に証明書の詳細を取得することが極めて重要です。

 

新しい HTTPS 証明書を要求することも、コミュニティドメインに既存の特定の証明書を再利用することも可能です。この場合のオプションは次の 2 つに大別されます。

コミュニティに新しい証明書が必要な場合

コミュニティに新しい HTTPS 証明書が必要な場合は、[ヘルプ & トレーニング] の手順に従って、新しい証明書署名要求を設定およびダウンロードし、認証機関に渡すことができます。

コミュニティドメイン用の既存の証明書がある場合

コミュニティを実行するドメインと一致する証明書がすでに会社に存在する場合は、以下に詳述されている手順に従って、その証明書を Java Keystore (JKS) ファイルにインポートし、組織にアップロードできるように準備します。
 

ここで重要な点は、証明書が、コミュニティを実行するドメインと一致していることを確認することです。例:

COMMUNITY DOMAIN: community.mycompany.com

WILDCARD CERT: *.mycompany.com

NON-WILDCARD CERT: community.mycompany.com


どちらのオプションを使用すればよいのかわからない場合は、情報テクノロジ (IT) チームに連絡して、既存の証明書が存在するか、新しい証明書が必要かを判断してください。

既存の証明書と非公開鍵を Java Keystore (JKS) ファイルを使用して Salesforce にインポートする方法


既存の証明書チェーンと非公開鍵を Salesforce にインポートする場合、インポートする証明書と非公開鍵の形式に応じて複数のオプションがあります。Salesforce では Java Keystore ファイル形式をサポートしていますが、すべてのシステムがこのファイル形式を直接エクスポートするわけではありません。ただし、Java Development Kit の keytool コマンドを使用すれば、証明書の一般的なファイル形式を Java Keystore ファイルに変換することができます。

証明書チェーン (サーバまたはクライアント証明書とその署名チェーンにある中間証明書) とそのサーバまたはクライアント証明書の非公開鍵を保存する一般的な形式は PKCS#12 形式で、このすべてを 1 つのファイルに格納します。もう 1 つの使用可能な形式は、個々の証明書ファイルと別途の非公開鍵ファイルのコレクションです。以下のセクションで、上記の 2 通りの変換シナリオについて説明します。ファイルが Java Keystore ファイルに変換されると、Salesforce にインポートできるようになります。
 

PKCS#12 (.p12、.pfx) ファイル

PKCS#12 ファイル形式は、証明書チェーンと非公開鍵を 1 つのファイルに格納する便利なもので、証明書のバックアップの目的で一般に使用されています。Windows や Windows Server 内の証明書管理では、このファイル形式にエクスポートできます。PKCS#12 ファイルの非公開鍵はパスフレーズを使用して暗号化されます。こちらをクリックすると参照画像が表示されます。

Java がまだインストールされていない場合は、先に進む前に、Oracle から Java Development Kit をインストールします。システムに適したバージョンをダウンロードしてインストールしてください。keytool または keytool.exe へのパスが PATH 環境変数内であることを確認します。あるいは、以下のコマンドを実行するときに、keytool または keytool.exe コマンドへのパスを完全修飾します。

PKCS#12 ファイルを Java Keystore ファイルに変換するためには、PKCS#12 ファイルで証明書に使用されるソースのエイリアスを取得する必要があります。この情報を取得するには、PKCS#12 ファイルで次のコマンドを実行します、この場合、pkcs12file.pfx を各自の PKCS#12 ファイルのファイル名に置換します。PKCS#12 ファイルの非公開鍵の暗号化パスフレーズの入力が求められます。このパスフレーズは、PKCS#12 ファイルの作成時に設定したものです。
 

keytool -list -keystore pkcs12file.pfx -storetype pkcs12


出力は次のようになります。以下の出力のエイリアスが太字で強調表示されています。この例のエイリアス値は、le-384927abc3839f-829278-ee12 です。ファイルによって使用される値が異なる可能性があり、単に 1 のような場合もあります。
 

Keystore type: PKCS12
Keystore provider: SunJSSE
 
Your keystore contains 1 entry
                                                                                                      
le-384927abc3839f-829278-ee12, Jan 29, 2016, PrivateKeyEntry,
Certificate fingerprint (SHA1): 99:68:C4:80:45:AF:9F:01:40:C5:BD:FB:0B:AB:CC:F0:99:9B:91:9D


このエイリアスがあれば、次のコマンドを使用して PKCS#12 ファイルを Java Keystore ファイルに変換することができます。pkcs12file.p12 を、各自の PKCS#12 ファイルのファイル名に置換します。keystorefile.jks を、Java Keystore ファイルに使用するファイル名に置換します。cert_dev_name_in_salesforce を、Salesforce 内の証明書に使用する API 参照名に置換します。API 参照名は、Apex コードまたはメタデータ API がこの証明書を参照するために使用する名前です。この名前は英数字と非連続のアンダースコアのみで構成され、先頭を英字にする必要があります。このコマンドで、Java Keystore ファイルの非公開鍵の暗号化に使用するパスフレーズの入力が求められ、変換する PKCS#12 ファイルのパスフレーズが質問されます。
 

keytool -importkeystore -srckeystore pkcs12file.p12 -destkeystore
keystorefile.jks -srcstoretype pkcs12 -deststoretype jks -destalias
cert_dev_name_in_salesforce -srcalias le-384927abc3839f-829278-ee12


コマンドが正常に実行されると、[証明書と鍵の管理] 設定ページの [キーストアからインポート] ボタンを使用して、keystorefile.jks ファイルを Salesforce にインポートすることができます。Java Keystore ファイルをインポート時に、インポートされる証明書とインポート先のエイリアス名が証明書リストに表示されます。

JKS ファイルを Salesforce にインポートする場合は、[設定] | [セキュリティコントロール] | [証明書と鍵の管理] | [キーストアからインポート] に移動してください。
 
 

個々の PEM または DER ファイル

PEM および DER ファイル形式は通常、証明書と非公開鍵を別々のファイルに格納します。テキストベースの PEM 形式では、証明書チェーンと非公開鍵を 1 つの連結ファイルに配置することを選択できます。そのため、PEM および DER ファイルを使用する場合は、多様な入力設定が可能になります。一般に、一番簡単なのは PEM ファイルを使用することですが、後続の処理のために DER ファイルを PEM ファイルに変換することも可能です。

Java がまだインストールされていない場合は、先に進む前に、Oracle から Java Development Kit をインストールします。システムに適したバージョンをダウンロードしてインストールしてください。keytool または keytool.exe へのパスが PATH 環境変数内であることを確認します。あるいは、以下のコマンドを実行するときに、keytool または keytool.exe コマンドへのパスを完全修飾します。

OpenSSL がインストールされていない場合は、これらの手順のために OpenSSL をインストールする必要があります。OpenSSL は Mac OS X と Linux に組み込まれていますが、Windows には組み込まれていません。OpenSSL を Windows にインストールするオプションとして Cygwin が挙げられますが、他にもオプションは存在します。

1 つ以上の入力ファイルが DER 形式を使用している場合は、そのファイルを PEM 形式に変換する必要があります。概して、入力した証明書または非公開鍵のファイルが DER 形式かどうかは、そのファイルをテキストエディタで開いてみればわかります。通常のテキスト文字で構成され、「BEGIN CERTIFICATE」または「PRIVATE KEY」というフレーズが含まれている場合は、すでにテキストベースの PEM 形式になっています。文字化けの羅列が示された場合は、DER 形式であるものと思われます。

DER 証明書ファイルを PEM ファイルに変換するには、次の openssl コマンドを実行します。der-certificate.crt を各自の DER 証明書のファイル名に、pem-certificate.crt を出力ファイルとして使用するファイル名に置換します。
 

openssl x509 -in der-certificate.crt -out pem-certificate.crt -inform der -outform pem


DER 非公開鍵ファイルを PEM ファイルに変換するには、次の openssl コマンドを実行します。der-privatekey.key を各自の DER 非公開鍵のファイル名に、pem-privatekey.key を出力ファイルとして使用するファイル名に置換します。
 

openssl rsa -in der-privatekey.key -out pem-privatekey.key -inform der -outform pem


中間証明書が複数ある場合は、テキストエディタを使用して、これらの中間証明書 PEM ファイルを 1 つのテキストベースの PEM ファイルに連結します。以下の説明の intermediate-chain.crt がこの連結ファイルです。

証明書チェーンと非公開鍵を PEM ファイルとして使用できるようになったら、OpenSSL を使用してこれらのファイルを PKCS#12 ファイルに変換できます。これらを PKCS#12 ファイルに変換するには、次のコマンドを実行します。pem-certificate.crt を、PEM 形式のサーバまたはクライアント証明書のファイル名に置換します。pem-privatekey.key を、そのサーバまたはクライアント証明書の PEM 形式の非公開鍵に置換します。intermediate-chain.crt を、クライアントまたはサーバ証明書の署名チェーンにあるすべての中間証明書を含む PEM 形式のファイルに置換します。

 
openssl pkcs12 -in pem-certificate.crt -inkey pem-privatekey.key -certfile intermediate-chain.crt -export -out pkcs12file.p12

これで次のコマンドを使用して、出力の pkcs12file.p12 ファイルを Java Keystore ファイルに変換することができます。pkcs12file.p12 を、各自の PKCS#12 ファイルのファイル名に置換します。keystorefile.jks を、Java Keystore ファイルに使用するファイル名に置換します。cert_dev_name_in_salesforce を、Salesforce 内の証明書に使用する API 参照名に置換します。API 参照名は、Apex コードまたはメタデータ API がこの証明書を参照するために使用する名前です。この名前は英数字と非連続のアンダースコアのみで構成され、先頭を英字にする必要があります。このコマンドで、Java Keystore ファイルの非公開鍵の暗号化に使用するパスフレーズの入力が求められ、変換する PKCS#12 ファイルのパスフレーズが質問されます。
keytool -importkeystore -srckeystore pkcs12file.p12 -destkeystore keystorefile.jks -srcstoretype pkcs12 -deststoretype jks -destalias cert_dev_name_in_salesforce -srcalias 1

コマンドが正常に実行されると、[証明書と鍵の管理] 設定ページの [キーストアからインポート] ボタンを使用して、keystorefile.jks ファイルを Salesforce にインポートすることができます。Java Keystore ファイルをインポート時に、インポートされる証明書とインポート先のエイリアス名が証明書リストに表示されます。

追加の参照


Java Keystore ファイル

Java Keystore ファイルはそのままインポートできます。キーストアの PrivateKeyEntry エントリのみがインポートされます。このタイプの各エントリに、証明書チェーンと非公開鍵が含まれます。trustedCertEntry など、他のエントリタイプは無視されます。

PrivateKeyEntry の名前が、インポートされる証明書の API 参照名になり、Apex コードまたはメタデータ API がこの証明書を参照するために使用できます。この名前は英数字と非連続のアンダースコアのみで構成され、先頭を英字にする必要があります。

JKS ファイルを Salesforce にインポートする場合は、[設定] | [セキュリティコントロール] | [証明書と鍵の管理] | [キーストアからインポート] に移動してください。

解決策

GAA: 開発者

 FA:API / インテグレーション

ナレッジ記事番号

000387916

 
読み込み中
Salesforce Help | Article