ServBay PKI（ServBay CA）管理

現代のWeb開発においては、ローカル開発環境であってもHTTPSを利用してデータ転送の安全性を確保することが重要です。ServBayにはServBay CAと呼ばれる組み込みのローカル公開鍵基盤（PKI）と証明書発行機関（CA）が搭載されており、ローカルサイト用に信頼できるSSL/TLS証明書を発行できます。これにより、ブラウザの警告を回避し、ローカルでも本番環境同様のHTTPS接続を模擬できます。

本記事では、macOS上でServBay CAにより生成されるローカルルート証明書「ServBay User CA - ECC Root」の管理方法、およびServBay CAに関する証明書エラーの対応策について詳しく説明します。

ServBay CAとは？

ServBay CAは、ローカル開発環境向けにServBayが設計した証明書発行機関です。ServBayで構成したローカルサイト（旧称「ホスト」）向けに、次のような各種セキュリティ証明書の発行が可能です：

• ドメイン（TLS/SSL）証明書（ローカルHTTPS接続用）
• メール（S/MIME）署名証明書
• ドキュメント（PDF）署名証明書
• ソースコード署名（Code Signing）証明書

ServBayをインストールすると、ServBay CAも自動的に生成され、ルート証明書「ServBay User CA - ECC Root」がmacOSのキーチェーンに追加されて信頼済みに設定されます。これにより、当該CA発行の証明書がローカル環境で正しく信頼されます。

図1：ServBayの証明書管理画面

ServBay CA発行のSSL証明書を申請する

ServBay CAは、ローカル開発のニーズに応じた複数種の証明書を発行できます。以下のドキュメントにて、それぞれの申請・利用方法を紹介しています：

• ドメインSSL証明書の申請・利用方法
• メール署名S/MIME証明書の申請・利用方法
• ドキュメント署名証明書の申請・利用方法
• コード署名証明書の申請・利用方法

ServBay CA発行SSL証明書の更新

ServBay CAが発行する証明書の有効期間はデフォルトで800日です。証明書の期限が近い、または期限が切れた場合は、ServBayインターフェースから簡単に更新できます。

証明書管理画面で、更新したい証明書右側のリフレッシュボタン（通常は循環矢印アイコン）をクリックしてください。新たな有効期限800日の証明書が再発行されます。

図2：証明書更新ボタン

ServBay CA発行SSL証明書のエクスポート

ServBay CA発行の証明書を他デバイスや仮想マシン、特定アプリで利用したい場合、証明書をエクスポートできます。

証明書管理画面で、証明書右側の「エクスポート」ボタンをクリックしてください。証明書と秘密鍵が同梱された.zipファイルがダウンロードされます。

図3：証明書エクスポートボタン

ServBay CA発行SSL証明書の削除

証明書が不要になった場合は、削除できます。

証明書管理画面で、証明書右側の「削除」ボタンをクリックしてください。

ご注意： ServBayで設定されたサイト（旧称「ホスト」）で利用中のSSL証明書は直接削除できません。まず該当サイトで証明書の関連付けを解除してから、削除操作を行ってください。

図4：証明書削除ボタン

macOSのキーチェーンアクセスでServBay CAを探すには？

ServBay CAのルート証明書「ServBay User CA - ECC Root」はmacOSのキーチェーンにインストールされています。キーチェーンアクセスアプリで、証明書の状態の確認や管理が可能です。

手順は次の通りです：

1. 「キーチェーンアクセス」アプリを開く。Spotlight（ Cmd + Space で「キーチェーンアクセス」と入力）ですぐに検索・起動可能です。
2. キーチェーンウィンドウ左側バーの「キーチェーン」欄で、「システム」を選択。通常はここにServBay CAルート証明書が設置されています。
3. 右上の検索ボックスに「ServBay User CA - ECC Root」と入力。
4. 検索結果から証明書を選び、ダブルクリックすると詳細情報を確認できます。「信頼」を確認してください。

図5：キーチェーンアクセスでServBay CAを確認

ローカルサイトの証明書エラーの解決

ServBayで設定したローカルサイト利用時に、ブラウザで「この接続ではプライバシーが保護されません」や「NET::ERR_CERT_AUTHORITY_INVALID」のような証明書エラーが表示される場合、原因として以下が考えられます：

• ServBay CAのルート証明書が正しくインストール・信頼されていない
• サイトで利用している証明書自体に問題がある

以下の方法で一般的な問題を解決できます。

ServBay CAルート証明書を再インストールする

キーチェーンからServBay CAルート証明書が削除されていた、破損している、あるいは信頼されていない場合は、再インストールを試してください。

1. ServBayアプリを開く。
2. 管理パネルに移動。
3. 管理パネルで「パッケージ」タブに進む。
4. パッケージリストで「ServBay Root CA」を選択。
5. 「ServBay Root CAを再インストール」ボタンをクリック。古いルート証明書があれば削除し、新たに「ServBay User CA - ECC Root」をシステムキーチェーンへ再登録し、信頼設定します。管理者パスワードが求められる場合は指示に従ってください。

図6：ServBay Root CAの再インストール

すべてのServBay User証明書を再発行する

極端なケースですが、ServBay CAに問題がある場合、証明書ファイルが失われた場合、証明書チェーンエラーが発生した場合などには、すべてのServBay CA発行証明書を再発行できます。

ServBay Root CAの管理画面で「すべてのServBay User証明書を再作成」ボタンを押してください。この操作で現在発行済みの証明書がすべて削除され、サイトごとに新たな証明書が自動生成・発行されます。

重要： 本操作を行うと、以前から配布・利用していた証明書（たとえばモバイルデバイスでのテスト用など）も新しくなります。必要な場合は、新証明書を再度エクスポート・配布してください。

図7：すべてのServBay User証明書を再発行

追加チェック項目:

• サイト構成の確認： サイト設定がServBay CA発行証明書のファイルを正しく参照しているかを確認してください。
• ブラウザキャッシュ: ブラウザが古い証明書情報をキャッシュしていることがあります。キャッシュクリアやプライベートウィンドウでのアクセスもお試しください。
• システムの信頼状態： 再度キーチェーンアクセスにて「ServBay User CA - ECC Root」が「常に信頼」になっているかを確認。証明書をダブルクリックし、「信頼」欄内の項目がすべて「常に信頼」になっているかも必ずご確認ください。

まとめ

ServBay CAは、macOS環境でHTTPSを手軽に利用するための強力なツールです。本記事で紹介した方法を活用すれば、ServBay CA発行のSSL証明書の申請・更新・エクスポート・削除・エラー発生時の対策までを効率的に実施できます。ServBay CAを正しく構成・運用することで、本番環境に近い安全なローカル開発ワークフローを実現できます。