HTTPS サービスを有効化する前に、証明書を設定する必要があります。Alibaba Cloud SSL Certificates Service で証明書を直接選択する、無料の証明書を申請する、または手動でカスタム証明書をアップロードすることができます。アップロードできるのは、PEM
形式の証明書のみです。他の形式の証明書と秘密鍵の場合、PEM 形式に変換する必要があります。
証明書の形式の要件
認証局 (CA) は、一般的に次のタイプの証明書を提供します。Alibaba Cloud DCDN では、Nginx 形式を使用します (証明書は .crt ファイル、秘密鍵は .key ファイル)。
証明書がルート CA によって発行された場合、ユーザーは証明書を 1 つだけ受信します。
中間 CA から複数の証明書で構成される証明書ファイルを取得した場合は、サーバー証明書と中間証明書を手動で結合してからアップロードする必要があります。
結合ルール:サーバー証明書の後ろに、空白行を付けずに中間証明書を結合する必要があります。一般的に、CA は証明書の発行時、関連する説明を提供します。ルールに関する説明に注意してください。
例
証明書をアップロードする前に、証明書の形式が正しいことを確認してください。
ルート CA によって発行された証明書
Linux 環境では、証明書は PEM
形式です。
証明書のルール:
-----BEGIN CERTIFICATE-----
と-----END CERTIFICATE-----
を一緒にアップロードします。- 各行は 64 文字 ですが、最後の行は 64 文字未満にすることができます。
中間 CA によって発行された証明書の結合:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
証明書の結合ルール:
- 証明書の間に空白行を挿入しないでください。
- 各証明書は、証明書のルールに準拠している必要があります。
RSA 秘密鍵の形式の要件
RSA 秘密鍵のルール:
openssl genrsa -out privateKey.pem 2048
コマンドを実行して、ローカル秘密鍵を生成します。privateKey.pem
は秘密鍵ファイルです。-----BEGIN RSA PRIVATE KEY-----
と-----END RSA PRIVATE KEY-----
は、秘密鍵ファイルの開始と終了をそれぞれ示します。開始と終了を示すコンテンツも一緒にアップロードします。各行は 64 文字ですが、最後の行は 64 文字未満にすることができます。
前述のルールに基づいて、秘密鍵が -----BEGIN PRIVATE KEY-----
, -----END PRIVATE KEY-----
の形式で生成されていない場合、次のコマンドを実行して秘密鍵を変換します。
openssl rsa -in old_server_key.pem -out new_server_key.pem
次に、new_server_key.pem
のコンテンツを証明書と一緒にアップロードします。
証明書の形式の変換方法
SSL アクセラレーションでは、PEM 形式の証明書のみをサポートします。他の形式の証明書は、PEM 形式に変換する必要があります。変換には、OpenSSL ツールの使用を推奨します。他の一般的な証明書の形式を PEM に変換する方法を、以下に示します。
DER から PEM へ
一般的に、DER 形式は Java プラットフォームで使用されます。
証明書の変換:
openssl x509 -inform der -in certificate.cer -out certificate.pem
秘密鍵の変換:
openssl rsa -inform DER -outform pem -in privatekey.der -out privatekey.pem
P7B から PEM へ
一般的に、P7B 形式は Windows Server および Tomcat で使用されます。
- 証明書の変換:
openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer
outcertificat.cer
から -----BEGIN CERTIFICATE-----
、-----END CERTIFICATE-----
コンテンツを取り出し、証明書としてアップロードします。
- 秘密鍵の変換:P7B 証明書には秘密鍵がないため、秘密鍵の部分ではなく証明書の部分のみをコンソールに入力する必要があります。
PFX から PEM へ
一般的に、PFX 形式は Windows Server で使用されます。
証明書の変換:
openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
秘密鍵の変換:
openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes
無料の証明書
無料の証明書を申請して、SSL アクセラレーションサービスを有効化することもできます。1 つのドメイン名につき 1 つの無料証明書を申請できます。アカウントごとの制限はありません。ワイルドカードドメイン名は、サポートされません。
- 無料の証明書の申請プロセスには、5〜10 分かかります。待機中、処理をやり直して、カスタム証明書をアップロードするか、管理対象の証明書を選択することもできます。
- 最初にどの証明書を有効にしたかにかかわらず、カスタム証明書、管理対象の証明書、無料の証明書を随時切り替えることができます。
- 無料の証明書は 1 年間有効で、期限切れになると自動的に更新されます。
- 本プロダクトを使用しているときに、HTTPS 設定を無効にし、その後で無料の証明書オプションを有効にした場合、無料の証明書が期限切れになっていなければ、以前に申請した無料の証明書が使用されます。無料の証明書オプションを有効にしたときに、証明書の期限が切れていた場合、システムは無料の証明書を再申請します。
その他の証明書の問題
- 証明書を無効化、有効化、変更することができます。証明書を無効化すると、証明書情報は保持されなくなります。証明書を再度有効化するとき、証明書と秘密鍵をアップロードし直す必要があります。「HTTPS 設定」をご参照ください。
- SNI 情報を含む SSL/TLS ハンドシェイクのみがサポートされています。
- アップロードする証明書と秘密鍵が、一致していることを確認します。
- 証明書の更新が有効になるまで、10 分ほどかかります。
- パスワードで保護された秘密鍵は、サポートされていません。
証明書に関連する FAQ については、「証明書に関する質問」をご参照ください。