HTTPS サービスを有効にする前に、証明書を設定する必要があります。 SSL 証明書でマネージド証明書または購入済み証明書を直接選択したり、無料証明書を申請したり、カスタマイズ証明書を手動でアップロードしたりすることができます。 カスタマイズアップロードは、PEM 形式の証明書のみ対応しています。 他の形式の証明書と秘密鍵は PEM 形式に変換する必要があります。

証明書フォーマット要件

認証局 (CA) は、一般に以下のタイプの証明書を提供します。 このうち、Alibaba Cloud CDN は Nginx 形式を使用します。 (証明書は .crt ファイル、秘密鍵は .key ファイルです)
  • 証明書がルート CA によって発行された場合、ユーザーは証明書を 1 つだけ受け取ります。
  • 中間 CA から複数の証明書で構成される証明書ファイルを取得した場合は、それらを一緒にアップロードする前に、手動でサーバー証明書と中間証明書にスプライシングする必要があります。
    スプライシングのルール : サーバー証明書の後には、空白行が入らず中間証明書が続いている必要があります。通常、CA は証明書を発行時に関連する説明が提供されます。 ルールの説明にご注意ください。

アップロードする前に正しい形式であることを確認します。

ルート CA 発行の証明書

Linux 環境の場合、証明書は PEM 形式です。
証明書のルール :
  • -----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- までのコンテンツを一緒にアップロードします。
  • 各行は 64 文字ですが、最後の行は 64 文字未満でも構いません。

中間 CA が発行した証明書のリンク :

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN Certificate -----

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

証明書のリンクに関するルール :

  • 証明書と証明書の間に空白行を挿入しないようにします。
  • 各証明書は、証明書のルールに準拠している必要があります。

RSA 秘密鍵形式の要件

RSA 秘密鍵のルール :

  • openssl genrsa -out privateKey.pem 2048 を実行してローカルの秘密鍵を生成し、秘密鍵ファイル privateKey.pem を作成します。

  • -----BEGIN RSA PRIVATE KEY---------- END RSA PRIVATE KEY----- は手動で秘密鍵ファイルの先頭と末尾を示します。 先頭と末尾のコンテンツも一緒にアップロードします。

  • 各行は 64 文字ですが、最後の行は 64 文字未満でも構いません。

秘密鍵が -----BEGIN PRIVATE KEY----------END PRIVATE KEY----- の形式で生成されていない場合は、前述のルールに基づいて以下のコマンドを実行し秘密鍵を変換します。 
——-END PRIVATE 
      KEY----- 
前述のルールに基づいて以下のコマンドを実行し秘密鍵を変換します。 
openssl rsa -in old_server_key.pem -out new_server_key.pem

次に、証明書と一緒に new_server_key.pem のコンテンツをアップロードします。

証明書の形式の変換方法

CDN HTTPS Secure Acceleration は、PEM 形式の証明書のみ対応しています。 他の形式の証明書は、PEM 形式に変換する必要があります。 変換には OpenSSL ツールの使用を推奨します。 以下に、他の一般的な証明書の形式を PEM に変換する方法を示します。

DER から PEM への変換

一般的に、DER 形式は Java プラットフォームで使用されます。
  • 証明書の変換 : 
    openssl x509 -inform der -in certificate.cer -out certificate.pem
  • 秘密鍵の変換 : 
    open-USssl rsa -inform DER -outform pem -in privatekey.der -out privatekey.pem

P7B から PEM への変換

一般に、P7B 形式は Windows Server および Tomcat で使用されます。
  • 証明書の変換 : 
    openssl pkcs7 -print_certs -in incertificate.p7b -out outcertificate.cer

    outcertificat.cer-----BEGIN CERTIFICATE----------END CERTIFICATE----- のコンテンツを取得し、証明書としてアップロードします。 CERTIFICATE-----, -----END CERTIFICATE----- content and upload the content as a certificate.

  • 秘密鍵の変換 : P7B 証明書には秘密鍵がないため、秘密鍵の部分ではなく証明書の部分のみ [CDN コンソール] に入力する必要があります。

PFX から PEM への変換

一般に、PFX 形式は Windows Server で使用されます。
  • 証明書の変換 : 
    openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
  • 秘密鍵の変換 : 
    openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes

無料の証明書

無料の証明書とは Alibaba Cloud CDN Digicert DV バージョン SSL 無料証明書のことで、Alibaba Cloud CDN サービスでのみ利用できル証明書です。 無料の証明書は Alibaba Cloud Security の SSL 証明書サービスでは管理できません。 この証明書は CDN で HTTPS Secure Acceleration を有効にする場合にのみ使用され、他の用途でその公開鍵と秘密鍵を取得することはできません。

  • 無料の証明書の申請には、5〜10 分かかります。 待機中に、処理をやり直してカスタマイズ証明書をアップロードしたり、マネージド証明書を選択したりすることができます。
  • 始めにどの証明書を有効にしたかに関わらず、カスタマイズ証明書、マネージド証明書、または無料の証明書を随時切り替えることができます。
  • 無料の証明書は 1 年間有効で、期限が切れると自動的に更新されます。
  • 本プロダクトを使用しているときに、HTTPS 設定を無効にしてから無料の証明書オプションを再度有効にした場合、以前申請した無料の証明書が期限切れになっていなければ、その無料の証明書が使用されます。 無料の証明書オプションを有効にしたときに、証明書の期限が切れていた場合、システムは無料の証明書を再申請します。

その他の証明書の問題

  • - 証明書を無効化、有効化、および変更することができます。 証明書を無効化すると、証明書情報は保持されなくなります。 証明書を再度有効化するとき、証明書と秘密鍵をアップロードし直す必要があります。 『HTTPS Secure Acceleration 設定のチュートリアル』をご参照ください。
  • SNI 情報を含む SSL/TLS "ハンドシェイク" のみ対応しています。
  • アップロードする証明書と秘密鍵が一致していることを確認します。
  • 証明書の更新が有効になるまでに 10 分かかります。
  • パスワード付きの秘密鍵はサポートされていません。