Loading
ただいま大変多くのお問い合わせをいただいており、ご連絡までにお時間を頂戴しております続きを読む

Marketing Cloud Engagement | サーバー証明書や証明書の更新に関してよくある質問

公開日: Mar 19, 2026
説明

Marketing Cloud Engagement (MCE) におけるサーバー証明書更新に伴う、SSL/TLS通信への影響と推奨されるクライアント側の設定について解説します。接続エラーを防ぐためのMozillaポリシーに準拠したトラストストア構成や、API接続エラー発生時の対応方法、よくある質問、サポートへのお問い合わせ前の確認事項をまとめています。

解決策

前提

サーバー証明書の更新に際した影響の有無や作業の要否は、お客様側のご利用の環境に依存します。弊社サポート窓口ではお客様のシステム内部の設定を確認することができないため、「現在の構成で影響があるか」「具体的にどの設定を変更すべきか」といった個別具体的な判断やご案内を行うことができません。

接続エラーを未然に防ぐための確実な対応は、更新対象のサーバーにアクセスする機器(APIクライアントもしくはPC) で、本記事で推奨している「Mozillaリストに準拠したルート証明書群を包括的に信頼する構成」にしていただくことです。この構成を満たしていれば、証明書の更新に伴う問題は発生いたしません。ご理解とご協力のほど、よろしくお願いいたします。

 

参考)

Important Update for Marketing Cloud Engagement Customers: End of Support for Certificate Pinning

URL : https://trailhead.salesforce.com/ja/trailblazer-community/feed/0D5KX00000KDKZw0AP

 

以下、詳細を記載します。

 

1. 証明書検証の仕組みと役割

SSL/TLS 通信において、接続元のクライアントはサーバー証明書の正当性を検証します。検証は主に「有効期限内であるか」「接続先のドメインと合致しているか」「信頼されたルート証明機関(認証局)が証明書チェーンの起点となっているか」という観点で行われます。これらの条件のいずれかを満たさない場合、SSL/TLS ハンドシェイクが成立せず、HTTPS 通信は遮断されます。
 
MCE の通常の証明書更新プロセスでは、常に有効期限内でドメインに合致した正当な証明書が提示されます。そのため、有効期限やドメイン一致は通常問題になりません。更新に伴う接続の成否は、主にクライアント側が「提示された証明書の起点となるルート証明書を信頼しているか」というトラストストアの設定状況に依存します。

 

【補足:一般PCやスマートフォンのWebブラウザからのアクセスについて】

本記事における「クライアント」には、API連携を行うシステムだけでなく、一般のPCやスマートフォンのWebブラウザも含まれます。ただし、一般的なOSやブラウザでは各ベンダーがルート証明書リストを自動更新・管理しています。MCEは業界標準であるMozillaのリストに準拠した証明書を利用しているため、SAP で独自の証明書を持ち込む運用(BYOC)をしていない限り、一般ユーザーからのアクセスが突然できなくなることは原則としてありません。

 


2.サーバー証明書が信頼されていない場合に発生しうる問題と対応方法

サーバー証明書がクライアント(ブラウザやAPIクライアント)から妥当なもの(信頼できるもの)と判断されない場合、セキュアな通信(TLS/SSL)が確立できず、様々な問題が発生します。接続の問題が発生した場合は、対象のエンドポイントに応じて以下の確認および対応をご検討ください。

 

接続先発生しうる問題の例確認と対応方法
1.APIエンドポイント

APIクライアントからのリクエストが接続レベルで失敗します。

APIを実行するアプリケーション側のログ等に、TLS通信が確立できない旨のエラーが記録されます。

エラーが発生しているAPIクライアント側のインフラ管理者に確認を依頼してください。

APIクライアント環境のトラストストアに、接続先APIサーバーのルート証明書が信頼された状態で登録されているかを確認する必要があります。

2.Marketing Cloud Engagement 管理画面ブラウザ上でセキュリティ警告が表示されてページが正しく表示されない場合や、一部機能が正しく画面上で動作しない場合があります。

当サービスが利用する証明書は、一般的なOSやブラウザで標準的に信頼されます。

本エラーが発生する場合、お使いのPCのトラストストアが意図的に制限されているか、社内ネットワーク機器(プロキシ等)の影響が疑われます。対象のルート証明機関からの証明書チェーンを全て信頼する構成とするか、当該PCおよびネットワークを管理している部門等へ対応をご依頼ください。

3. SAP / Private Domain (Click, View, Images, CloudPages 等)

メール内の画像が表示されない、トラッキングリンクが動作しない、View As Web Pagesが機能しない、CloudPagesが閲覧できない等の状況が発生します。

これらは原則として一般の受信者がアクセスするものです。一般ユーザーの環境ではSAP/プライベート ドメイン のサーバー証明書標準的に信頼され、原則として本トラブルは発生しません。


ただし、セキュリティが厳格な特定の企業ネットワーク等からアクセスした場合に事象が発生することがあります。特定のPCや社内環境からのみ事象が再現する場合は、当該PCもしくはPCの管理部門から 2. と同様の対応を行う必要があります。

 


3. サポート対象外および非推奨の構成

以下の構成は、証明書の更新(ローテーション)時に接続障害を引き起こすため、MCE ではサポート対象外または非推奨と定義されています。

 

3.1. 証明書のピン留め(Certificate Pinning) - サポート対象外

特定のサーバー証明書や中間証明書のハッシュ値をアプリケーション内で固定(ハードコーディング)する構成です。 MCE はセキュリティ維持のために証明書を定期的に更新するため、この構成下では更新直後に接続遮断が発生します。

 

3.2. 特定ルート証明書への限定 - 非推奨

一般的なルート証明書リストから特定の認証局のみを選別し、独自にホワイトリスト形式で管理する構成(例:DigiCert Global Root G1 のみ許可し、G2/G3 を許可しない等)は推奨されません。 このような構成は、MCE が利用する認証局が変更された際(例:G1 から G2 への移行)、クライアント側が検証に失敗し接続不能となる主因となります。特定のルート証明書に依存せず、リスト全体を信頼する運用が安定的な利用のために推奨されます。

 


4. 推奨される構成

MCE との接続において、接続エラーを未然に防ぐための推奨構成および要件は以下の通りです。

 

Mozilla Root Store Policy への準拠(推奨)

MCE は Mozilla のポリシーに準拠した認証局 (CA) を利用します。そのため、クライアント環境(Java, .NET, OpenSSL, 各種ブラウザ等)においては、「Mozilla のリストに含まれるルート証明書」を広範に信頼する設定 を推奨およびサポート対象とします。この構成を維持することで、ルート証明書の世代交代(G2/G3 等)や認証局の変更が発生した場合でも、自動的に信頼関係が維持されます。

 


5. よくある質問 (FAQ)

Q. DigiCert Global Root G2 と G3 のどちらを登録すべきですか?
A. 両方を含む、Mozillaリスト準拠のルート証明書群を包括的に登録してください。特定のバージョンに限定する運用は非推奨構成に該当し、将来的な接続エラーの原因となります。

 

Q. 証明書更新の事前通知はありますか? あるいは更新予定の証明書のデータを事前に配布してください。
A. 原則として事前の更新の通知や事前配布は行いません。推奨構成を満たしていれば、通知の有無に関わらず通信への影響は発生しません。

 

Q. 事前検証(接続テスト)は可能ですか?
A. 証明書検証専用の環境は提供しておりません。クライアント環境のトラストストアが推奨構成になっているかの設定確認を優先してください。

 

Q. サーバー証明書の更新にあたり、MCE管理者側で必要な作業はありますか?
A. お客様独自のSSL証明書を持ち込む運用をされているSAPドメイン等を除き、MCEの管理画面等で実施いただく作業はありません。自社システム側での設定変更の作業要否については、本記事および証明書更新対象のサービスを確認のうえ、貴社のAPIクライアントのサーバー管理者やご利用のPC・ネットワーク管理者様へご確認をお願いいたします。

 

Q. MCE の利用しているサーバー証明書のルート証明書の発行元はどこですか。
A. サーバー証明書は一般的なWebブラウザから確認できます。Google Chromeを利用した場合の確認手順は以下の通りです。

・アドレスバーに確認したいエンドポイントのURLを入力してアクセスする

・アドレスバーの左端にある調整アイコン (2本の横線アイコン) をクリックする

・表示されたメニューから [この接続は保護されています] を選択する

・[証明書は有効です] をクリックする

・表示された証明書ビューアでルート証明書や中間証明書の内容を確認する

 


6. お問い合わせ前の確認事項

よりスムーズなサポートをご提供するため、お問い合わせの前に社内で以下の2点について確認をお願いいたします。

  1. クライアント側トラストストアが標準的な設定であるかの確認 - 証明書のピン留めを行っていないこと、および独自の基準でルート証明書を限定せずMozillaリスト等に準拠していることをAPIクライアントやPC管理者様へご確認ください。

  2. 通信経路の特定 -  影響を懸念されている通信の接続元クライアントと、接続先のMCEサーバーあるいは機能を明確にし、どの機能への懸念があるか、あるいは証明書の更新に関連する情報がどのサービスを対象としているか判断しかねている場合など、具体的な状況を記載してください。

ナレッジ記事番号

005299113

 
読み込み中
Salesforce Help | Article