すべてのプロダクト
Search
ドキュメントセンター

CDN:証明書形式

最終更新日:May 27, 2026

Alibaba Cloud CDN は、PEM 形式の証明書と秘密鍵のみをサポートしています。このトピックでは、各証明書タイプの形式要件と、DER、P7B (PKCS#7)、PFX (PKCS#12) の証明書を PEM 形式に変換する方法について説明します。

事前準備

アップロードする前に、証明書と秘密鍵が以下のすべての要件を満たしていることを確認してください。

要件

詳細

形式

PEM 形式でエンコードされていること

行の長さ

最終行を除く各行は、正確に 64 文字で構成されること

スペースなし

-----BEGIN ...----------END ...----- マーカーの間にスペースが含まれていないこと

証明書チェーンの順序

サーバー証明書が最初で、その後に中間証明書が続くこと (中間 CA のみ)

ルート CAから発行された証明書

ルート CA 証明書は、Apache、IIS、NGINX、Tomcat などの Web サーバーと互換性があります。CDN で使用される SSL 証明書は、NGINX 互換形式を使用します。証明書ファイルの拡張子は .crt で、秘密鍵ファイルの拡張子は .key です。

テキストエディタで .crt ファイルを開き、証明書の内容を確認します。

証明書は、次の構造と一致している必要があります。

  • -----BEGIN CERTIFICATE----- で始まること

  • -----END CERTIFICATE----- で終わること

  • 最終行を除く各行は正確に 64 文字で構成され、最終行は 64 文字以下であること

-----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- までの内容全体をアップロードしてください。

中間 CAから発行された証明書

証明書が中間 CA から発行されている場合は、完全な証明書チェーン (サーバー証明書とすべての中間証明書を1つのファイルに結合したもの) をアップロードしてください。

-----BEGIN CERTIFICATE-----
(サーバー証明書の内容)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(中間証明書の内容)
-----END CERTIFICATE-----
重要

サーバー証明書を最初に配置し、その後に中間証明書を続ける必要があります。証明書間にスペースを追加しないでください。すべての証明書は PEM 形式である必要があります。

チェーンを構築するには、各 .pem ファイルをテキストエディタで開き、内容を順序どおりに貼り付けます。サーバー証明書ブロックを最初に配置し、各中間証明書ブロックをその直後に配置し、それらの間にスペースを入れないでください。

RSA秘密鍵の形式

秘密鍵ファイルの拡張子は .pem または .key です。テキストエディタで開き、内容を確認します。

有効な RSA 秘密鍵は、次の条件を満たす必要があります。

  • -----BEGIN RSA PRIVATE KEY----- で始まること

  • -----END RSA PRIVATE KEY----- で終わること

  • 最終行を除く各行は正確に 64 文字で構成され、最終行は 64 文字以下であること

新しい RSA 秘密鍵の生成

次のコマンドを実行して、2048 ビットの RSA 秘密鍵を生成します。出力は privateKey.pem に保存されます。

openssl genrsa -out privateKey.pem 2048

-----BEGIN PRIVATE KEY----- で始まる秘密鍵の変換

秘密鍵が -----BEGIN PRIVATE KEY----- で始まり、-----BEGIN RSA PRIVATE KEY----- で始まっていない場合は、アップロードする前に OpenSSL で変換してください。

openssl rsa -in old_server_key.pem -out new_server_key.pem

new_server_key.pem の内容を証明書と一緒にアップロードしてください。

キー長の要件

CDN でサポートされている RSA 秘密鍵のキー長は次のとおりです:

  • 2048 ビット未満の RSA キー (1024 ビットなど) は安全でないと見なされ、バックエンドの検証で拒否される可能性があります。

  • 2048 ビットまたは 4096 ビットを使用してください。キーを生成するには、

    openssl genrsa -out privateKey.pem 2048

    を使用するか、20484096 に置き換えてください。

  • CDN は ECC (Elliptic Curve Cryptography) 証明書もサポートしています。一般的な ECC 曲線タイプには、prime256v1 (secp256r1) および secp384r1 があります。ECC 秘密鍵を生成するには、次のコマンドを使用します。

openssl ecparam -genkey -name prime256v1 -out ecc_key.pem
説明

正確な最大キー長と ECC 曲線のサポートは、CDN バックエンド API の検証によって決まります。アップロード中にキー関連の形式エラーが発生した場合は、標準の 2048 ビット RSA または prime256v1 ECC キーで再生成してください。

証明書形式の変換

CDN は PEM 形式の証明書のみをサポートしています。他の形式から変換するには、OpenSSL を使用してください。

.crt ファイルは、PEM 形式または Distinguished Encoding Rules (DER) 形式のいずれかである可能性があります。テキストエディタで開き、-----BEGIN CERTIFICATE----- が表示される場合は、すでに PEM 形式であり、変換は不要です。PEM は Base64 でエンコードされたテキスト形式です。PEM 形式の秘密鍵ファイルの拡張子は .key です。

DERからPEMへの変換

DER は、Java プラットフォームで一般的に使用されます。

証明書を変換します。

openssl x509 -inform der -in certificate.cer -out certificate.pem

秘密鍵を変換します。

openssl rsa -inform DER -outform pem -in privatekey.der -out privatekey.pem

P7B (PKCS#7) からPEMへの変換

P7B は、Windows Server および Tomcat で一般的に使用されます。

証明書を変換します。

openssl pkcs7 -print_certs -in incertificate.p7b -out outcertificate.cer

outcertificate.cer を開き、-----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- までのブロックをコピーし、そのブロックのみをアップロードしてください。

P7B ファイルには秘密鍵が含まれていません。CDN コンソールで SSL 証明書を設定する際は、証明書の内容のみを入力し、秘密鍵のフィールドは空のままにしてください。

PFX (PKCS#12) からPEMへの変換

PFX は、Windows Server で一般的に使用されます。

証明書を変換します。

openssl pkcs12 -in certname.pfx -nokeys -out cert.pem

秘密鍵を変換します。

openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes

署名アルゴリズムのサポート

CDN でサポートされている署名アルゴリズムは、バックエンド API の検証ルールによって決まります。以下は、一般的な署名アルゴリズムの互換性に関する参考情報です:

  • 非推奨:

    • SHA-1 with RSA: SHA-1 は主要なブラウザによって安全でないと見なされており、一部のバックエンド検証では SHA-1 署名証明書が拒否される可能性があります。

説明

CDN コンソールは、フロントエンドで署名アルゴリズムの検証を実行しません。署名アルゴリズムの互換性は、バックエンド API によって決定されます。一般的でない署名アルゴリズムを使用する証明書をアップロードする際にエラーが発生した場合は、SHA-256 with RSA またはより安全なアルゴリズムを使用して証明書を再発行してください。

証明書の署名アルゴリズムは、次のコマンドで確認できます。

openssl x509 -in your_cert.pem -noout -text | grep "Signature Algorithm"

出力は Signature Algorithm: sha256WithRSAEncryption のようになります。