【完全保存版】エックスサーバーのSSL設定マニュアル！手順・反映待ち時間・エラー解決まで全て解説

標準的レンタルサーバー運営者の吉岡です。

「ブログを始めたけど、保護されていない通信って表示されるのが怖い」「SSL設定ボタンを押したけど、サイトが真っ白になったらどうしよう」……そんな不安を抱えて、この画面を開いているのではないでしょうか？

正直に言いますね。サーバーの管理画面、特に「SSL（https化）」周りの設定って、専門用語のオンパレードで本当に近寄りがたいですよね。私自身、サーバー運営に携わって長いですが、初心者の頃は「.htaccess」とか「DNS浸透」なんて単語を聞くだけで胃がキリキリしたものです。設定を一つ間違えて、愛着のあるブログが表示されなくなった時のあの冷や汗……あなたには絶対に味わってほしくありません。

でも、大丈夫です。エックスサーバーは日本のレンタルサーバー界でもトップクラスに「SSL化が簡単」な設計になっています。手順さえ間違えなければ、カップラーメンを作っている間に終わります。

この記事では、単なるマニュアルのコピペではなく、「実際の画面でどこをクリックするのか」という基本操作から、「設定ボタンを押した後の空白の待ち時間に裏側で何が起きているのか」、そして「万が一エラーが出た時にどうやってリカバリーするのか」まで、泥臭い現場の知識を全て詰め込みました。ブックマーク必須の長編ガイドですが、これさえ読めばあなたのサイトは鉄壁のセキュリティを手に入れられますよ。

エックスサーバーでSSLを設定する手順

それでは、ここから具体的な設定作業に入っていきます。画面のスクリーンショットを頭に思い浮かべながら、私と一緒に手を動かしてみてください。「なんか難しそう」と身構える必要はありません。やることは実はシンプルで、ボタンを数回クリックするだけなんですよ。

無料独自SSLの追加方法

当サイト画像イメージ

まずはエックスサーバー側で「このドメインをhttpsに対応させますよ」という申請（インストール）作業を行います。ここが全てのスタート地点です。

手順1：サーバーパネルへのログインとメニュー選択

まずはエックスサーバーの「サーバーパネル」にログインしましょう。インフォパネルではなく、設定を行う方のパネルです。画面右上にある「ドメイン」というカテゴリーの中に、「SSL設定」という項目があります。ここをクリックしてください。間違えやすいのですが、「ドメイン設定」ではなく「SSL設定」ですよ。

手順2：対象ドメインの選択とタブの切り替え

ドメイン選択画面になったら、今回SSL化したいブログのドメインを選びます。複数サイトを運営している方は、ここでドメインを取り違えないように指差し確認してくださいね。
画面が切り替わると、デフォルトでは「SSL設定一覧」というタブが開いています。ここでは何もできませんので、その隣にある「独自SSL設定追加」というタブをクリックして画面を切り替えます。

手順3：ここが最大の落とし穴！「CSR情報」のチェック

「独自SSL設定追加」の画面には、対象のドメイン名が表示されています。そしてその下に、「CSR情報（SSL証明書申請情報）を入力する」というチェックボックスと、国コードや都道府県などを入力するフォームが隠れています。

ここ、絶対にチェックを入れないでください。

真面目な方ほど「えっ、申請情報なんだから、ちゃんと住所とか入力しなきゃいけないんじゃ？」と思ってしまいがちです。ですが、個人のブログや一般的なWebサイトで利用する「Let’s Encrypt（無料独自SSL）」の場合、この情報は不要なんです。ここにチェックを入れて変な情報を入力してしまうと、逆に審査が通らなかったり、有料オプションの申請と混同したりと、ろくなことがありません。ここは完全にスルーして、右下の「確認画面へ進む」をクリック。最後に「追加する」ボタンをポチッと押せば完了です。

設定反映までの待ち時間

当サイト画像イメージ

「よし、追加完了！ さっそくhttpsのURLで自分のブログを見てみよう！」
……と、意気揚々とアクセスしたあなたの目に飛び込んでくるのは、おそらく「このサイトは安全ではありません」という真っ赤な警告画面か、「無効なURLです」という素っ気ないエラーメッセージでしょう。

ここで「うわあああ！ サイト壊した！？」とパニックになって私のところに問い合わせてくる方が、毎月ものすごい数いらっしゃいます。でも安心してください。これは故障ではなく、インターネットの仕組み上どうしても発生する「タイムラグ」なんです。

裏側で何が起きているのか？

当サイト画像イメージ

あなたがボタンを押した瞬間、エックスサーバーのシステムは裏側で大忙しです。まず認証局（SSL証明書を発行する機関）に対して「このドメインの持ち主から申請があったけど、本当に存在するドメイン？」と問い合わせを行い、認証を受け、発行されたデジタル証明書をサーバー内の特定フォルダにインストールし、さらにウェブサーバー（NginxやApache）の設定ファイルを書き換えて再起動する……という複雑な処理を全自動で行っています。

実際の待ち時間はどれくらい？

公式サイトには「最大1時間程度」と記載されていますが、私の長年の肌感覚で言うと以下の通りです。

• 通常時（平日昼間など）： 10分〜20分程度で反映されます。早いです。
• 混雑時（夜間や休日）： 30分〜50分ほどかかることがあります。
• ドメイン取得直後： ここが要注意。ドメインを取ってネームサーバーを設定した直後だと、DNSの浸透待ちと重なって数時間〜半日エラーが消えないこともあります。

この時間は、あなたがパソコンの前でF5キー（更新）を連打しても1秒も縮まりません。むしろサーバーに負荷をかけるだけです。ステータスが「反映待ち」になっている間は、PCを閉じてコーヒーでも淹れて、好きな動画でも見てリラックスしていてください。「果報は寝て待て」ですよ。

エックスサーバーでドメインをSSL対応できないな〜と思ってたら、jpなのをcomで設定しようとしてたからだった😂

何日も気づかず、なんでできないのか悩んでたけど、凡ミスだった…

— Hiroki Matsumoto / ONWA (@peter0906) October 14, 2025

WordPress側の設定変更

さて、サーバーパネル上の「反映待ち」の文字が消え、実際に「https://〜」でアクセスしてサイトが表示されるようになったら、次はいよいよWordPress側の手術です。
ここが一番の山場であり、最も慎重さが求められるステップです。サーバーがhttpsに対応しても、WordPress自体はまだ「自分はhttp（暗号化されていない）サイトだ」と思い込んでいる状態だからです。

一般設定の書き換え手順

WordPressの管理画面にログインし、左メニューの「設定」＞「一般」へと進みます。
ここに「WordPressアドレス（URL）」と「サイトアドレス（URL）」という2つの項目がありますよね？ おそらく両方とも「http://example.com」のようになっているはずです。

この「http」の後ろに、半角の「s」を付け足して「https」に書き換えてください。2箇所ともです。そして、画面最下部の「変更を保存」ボタンをクリックします。

【超重要】絶対にやってはいけないこと

超重要絶対にやってはいけないこと

この作業、「サーバー側のSSL設定がまだ反映されていない状態」でやってしまうとどうなると思いますか？
答えは「管理画面に一切入れなくなる」です。
WordPressは「https」で表示しようとするのに、サーバー側はまだ「https」の準備ができていないため、どこにも繋がらずエラーになります。こうなると、FTPソフトを使って直接データベースや設定ファイルをいじるという、初心者にはハードルが高すぎる修復作業が必要になってしまいます。

常時SSL化の転送設定

「WordPressの設定も変えたし、これで完璧！」と思ったあなた。実はまだ詰めが甘いです。
今の状態だと、あなたのサイトには「http://〜（危険な状態）」と「https://〜（安全な状態）」の2つの入り口が存在してしまっています。昔ブックマークしてくれた人や、外部のサイトからのリンクは「http」のままですよね。

そこで、強制的に「http」へのアクセスを「https」に転送（リダイレクト）する設定が必要です。これを専門用語で「常時SSL化」と呼びます。

エックスサーバーならツール一発（推奨）

昔は「.htaccess」という黒い画面で操作するような設定ファイルを編集する必要がありましたが、今はエックスサーバーが神ツールを用意してくれています。
サーバーパネルの「ホームページ」カテゴリーにある「Webサイトの常時SSL化」というメニューをクリックしてください。対象ドメインを選んで「常時SSL化を行う」ボタンを押すだけ。これだけで、複雑な転送コードを自動で記述してくれます。簡単すぎて涙が出ますね。

手動で行う場合（ツールがない場合）

もし古いサーバー環境などで上記ツールがない場合は、「.htaccess編集」から以下のコードをファイルの一番先頭に追記してください。

RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

このコードは「もし（RewriteCond）httpsじゃなかったら、httpsのアドレスに強制転送（RewriteRule）しろ！」という命令文です。これをやらないと、Googleから「重複コンテンツ」とみなされてSEO評価が下がったり、「保護されていない通信」警告が出続けたりします。必ず設定してくださいね。

認証失敗メールが届く理由

SSL設定を追加した直後、エックスサーバーから「【重要】SSLサーバー証明書 取得失敗のお知らせ」なんていう、心臓に悪いタイトルのメールが届くことがあります。
「えっ、失敗！？ 何か悪いことした？ 追加料金かかるの？」とパニックになる気持ち、分かります。

原因の9割は「DNS」の問題

このエラーが出る最大の原因は、「ドメインを取得したばかり」か「ネームサーバーを変更したばかり」であることです。
インターネット上の住所録である「DNS」の情報が世界中に行き渡るまでには、数時間〜最大24時間ほどのタイムラグがあります。情報が行き渡っていない状態でSSLの申請を出しても、認証局（Let’s Encrypt側）が「おや？ このドメイン、本当にエックスサーバーにあるのか確認できないぞ？」と判断して、発行をストップしてしまうのです。

対処法：ひたすら待つ、それだけ。

このメールが届いても、設定を削除したり余計な操作をしたりする必要はありません。対処法は「半日ほど放置して、もう一度更新ボタンを押す」。これだけです。
時間が解決してくれる問題なので、焦らず待ちましょう。もし数日経っても失敗する場合は、ネームサーバーの設定自体が間違っている可能性があるので、「ドメイン購入元の設定画面」を見直してみてくださいね。

エックスサーバーのSSLエラーと対処法

エックスサーバーなら

手順通りやったつもりでも、なぜか鍵マークがつかない、レイアウトが崩れたというトラブルは、残念ながらよく起こります。
ここからは、私が相談を受ける中で特に多いトラブル事例と、その具体的な解決策をQ&A形式で深掘りしていきます。困った時の辞書代わりに使ってください。

サイトが表示されない原因

我が名はアシタカ！
客先のWebサーバーのSSL証明書を更新したら古いWindowsCE端末から接続できなくなった！
そして古いSSL証明書の有効期限は明日の15時までだ！
現地まで約800kmあってもうすぐ台風も来る！
一体どうすれば良い！ pic.twitter.com/zt4Az9doTT

— いーぐる (@eag1e3081) August 26, 2024

「httpsにした途端、サイトが表示されなくなった！」
この現象に遭遇した時、まず疑うべきはサーバーの不具合ではなく、「あなたのブラウザ」です。

キャッシュという名の古漬け

Webブラウザ（ChromeやSafari）は、サイトの表示速度を上げるために、一度見たページの情報（キャッシュ）を保存しています。設定を変更しても、ブラウザが古い「http時代の情報」を頑なに表示し続けようとして、エラーになることが多々あるんです。
まずは、ブラウザの「シークレットモード（プライベートウィンドウ）」を開いて、自分のサイトにアクセスしてみてください。もしシークレットモードで正常に表示されるなら、原因は100%キャッシュです。ブラウザの履歴削除を行えば直ります。

リダイレクトループの恐怖

「このページは動作していません。リダイレクトが繰り返し行われました」というエラーが出る場合。これは「httpからhttpsへ転送」という命令と、「httpsからhttpへ戻れ」という命令が衝突して、無限ループに陥っている状態です。
よくあるのが、WordPress側のプラグイン（Really Simple SSLなど）と、サーバー側（.htaccess）の設定が競合しているケース。もしプラグインを入れているなら一度停止してみる、あるいは.htaccessの記述を確認してみる、といった切り分けが必要です。

保護されていない通信の修正

URLは「https://」になっているのに、アドレスバーに「鍵マーク」がつかず、代わりに「！」マークや「保護されていない通信」と表示される状態。
これは、Web制作の現場では「Mixed Content（混合コンテンツ）」と呼ばれています。お弁当箱（サイト全体）は無菌（https）なのに、おかずの一部（画像など）に菌（http）が付着しているような状態ですね。

犯人は「画像」と「ウィジェット」

最近の記事は大丈夫でも、数年前に書いた過去記事の中に貼り付けた画像のURLが「http://〜」のまま残っていませんか？ あるいは、サイドバーに貼ったブログ村のバナーや、アフィリエイトリンクが古い「http」のままではありませんか？
Webブラウザは非常に厳格なので、ページ内にたった1つでも「http」の要素が混じっていると、安全なサイトとは認めてくれません。

Chromeの検証ツールで犯人を特定せよ

どの画像が犯人なのか分からない時は、Google Chromeでサイトを開き、キーボードの「F12」キーを押してください。「Console（コンソール）」というタブを開くと、赤や黄色の文字で「Mixed Content: The page at…」というエラーが出ているはずです。そこに犯人の画像のURLがバッチリ書かれています。
数が少なければ手動で修正、多ければ「Search Regex」などの置換プラグインを使って、データベース内の「http://あなたのドメイン」を「https://あなたのドメイン」に一括変換してしまうのが一番手っ取り早い解決策ですよ。

自動更新が失敗する場合

当サイト画像イメージ

エックスサーバーの無料独自SSLは、有効期限が90日と決まっています。ですが、通常は期限が切れる1ヶ月前くらいに、サーバーが自動で更新処理を行ってくれるので、ユーザーは何もしなくてOKです。
しかし、忘れた頃にやってくるのが「SSLサーバー証明書更新未完了のお知らせ」という恐怖のメールです。

なぜ自動更新に失敗するのか？

よくある原因は以下の3つです。

• Basic認証（アクセス制限）をかけている： 開発中のサイトなどでパスワード制限をかけていると、認証局からのアクセスもブロックしてしまい、更新に失敗します。
• WAF設定の誤検知： エックスサーバーのセキュリティ機能（Webアプリケーションファイアウォール）が、認証の通信を「攻撃」と勘違いして遮断してしまうケースがあります。
• ドメインの期限切れ： まさかと思いますが、ドメイン自体の契約更新を忘れていて利用停止になっていませんか？

もしこのメールが届いたら、一時的にBasic認証やWAF設定を「OFF」にしてから、サーバーパネルのSSL設定画面で「更新」ボタンを手動でクリックしてください。それで成功すれば、また設定をONに戻して大丈夫ですよ。

有料SSLと無料版の違い

最後に、よくある質問。「無料のSSLで本当に大丈夫なの？ セキュリティが弱いんじゃないの？」という疑問に、プロとしてハッキリお答えします。
結論から言うと、「通信を暗号化する強度」に関しては、無料版も有料版（年間数万円するもの）も全く同じです。無料だからといって情報が漏れやすいなんてことは絶対にありません。

違いは「身元の証明」レベル

では何が違うのかというと、「誰がこのサイトを運営しているか」という身元保証のレベルです。

個人がブログを運営する分には、「私はドメインの持ち主ですよ」という証明ができれば十分です。ですので、エックスサーバー標準の「無料独自SSL」で胸を張って運営して大丈夫ですよ。無駄なコストをかける必要はありません。

エックスサーバーのSSL設定まとめ

長文にお付き合いいただき、本当にお疲れ様でした。ここまで読んだあなたは、もう「なんとなく怖いからSSLは後回し」にしていた初心者ではありません。トラブルが起きても自分で原因を特定できる、中級者の知識を身につけています。

最後に、絶対に忘れてはいけない「SSL化の鉄則」を3行でまとめておきます。

SSL化は、読者に安心して記事を読んでもらうための「おもてなし」であり、Googleに評価してもらうための「パスポート」でもあります。最初の一歩は勇気がいりますが、この記事をガイド代わりに、ぜひ安全なサイト運営をスタートさせてくださいね。

※本記事の数値や手順は執筆時点（2025年）のものです。正確な最新情報はエックスサーバー公式サイトをご確認ください。