すべてのプロダクト
Search

このプロダクト

    Server Load Balancer:証明書の作成

    ドキュメントセンター

    Server Load Balancer:証明書の作成

    最終更新日:Sep 03, 2025

    Classic Load Balancer(CLB)インスタンスの HTTPS リスナーを構成するには、まず証明書を作成する必要があります。

    証明書のタイプ

    CLB は 2 つの認証モードをサポートしています。

    • 一方向認証:CLB 上のサーバー証明書のみが必要です。クライアントはサーバーを認証します。

      相互認証:CLB 上のサーバー証明書と CA 証明書の両方 が必要です。サーバーとクライアントは相互に認証します。

    CLB は 2 つのソースからの証明書をサポートしています。

    • Alibaba Cloud Certificate Management Service:Certificate Management Service から購入またはアップロードした証明書を直接選択できます。この方法では、証明書の管理を一元化し、有効期限のリマインダーやワンクリック更新などのメリットがあります。ただし、この方法は現在、クライアント CA 証明書をサポートしていません。

    • サードパーティ証明書:別のプロバイダーによって発行された証明書、または自己署名証明書をアップロードできます。この方法では、公開鍵ファイルと秘密鍵ファイルを手動でアップロードする必要があります。サーバー証明書と CA 証明書の両方をサポートしています。

    証明書を CLB にアップロードすると、CLB がそれを管理します。バックエンドサーバーに証明書をデプロイする必要はありません。

    証明書を作成する

    Alibaba Cloud 発行の証明書

    1. Certificate Management Service コンソール で必要な証明書を購入またはアップロード済みであることを確認します。

    2. CLB コンソール にログオンします。

    3. 左側のナビゲーションウィンドウで、[CLB] > [証明書] を選択します。

    4. [証明書] ページで、[証明書の追加] をクリックします。

    5. [証明書の追加] パネルで、[Alibaba Cloud 証明書] を選択します。リストから目的の SSL 証明書を選択し、その [リージョン] を指定します。

      証明書は、作成後は、[リージョン] に指定されていないリージョンでは使用できません。証明書を使用するすべてのリージョンを選択してください。

    6. [作成] をクリックします。作成された証明書は、[証明書] ページで確認できます。

    サードパーティ証明書

    1. 始める前に:

      • サーバー証明書の公開鍵ファイルと秘密鍵ファイルを PEM 形式で準備します。

      • (相互認証の場合のみ)CA 証明書の公開鍵ファイルを PEM 形式で準備します。

    2. CLB コンソール にログオンします。

    3. 左側のナビゲーションウィンドウで、CLB > 証明書 を選択します。

    4. 証明書 ページで、証明書の作成 をクリックします。

    5. 証明書の作成 パネルで、[サードパーティ証明書] を選択し、以下の構成を完了してから、[作成] をクリックします。

      パラメーター

      説明

      [証明書のタイプ]

      アップロードする証明書のタイプを選択します。

      • [サーバー証明書]:一方向 HTTPS 認証に使用します。証明書の公開鍵と秘密鍵を提供する必要があります。

      • [CA 証明書]:相互 HTTPS 認証に使用します。CA 証明書の公開鍵を提供する必要があります。この方法では、別のサーバー証明書も必要です。

      [公開鍵証明書]

      サーバーまたは CA 証明書の内容を貼り付けます。証明書には、公開鍵や署名などの情報が含まれています。

      CLB は Nginx 形式の証明書を使用します。プロバイダーから Nginx 形式で取得した証明書は、通常は .pem ファイル拡張子を持ちますが、それ以外の場合は .crt などの拡張子を持つ場合があります。

      [サンプルを表示] をクリックして、正しい証明書形式を確認してください。

      詳細については、「証明書の要件」をご参照ください。

      [秘密鍵]

      サーバー証明書の秘密鍵を貼り付けます。プロバイダーから Nginx 形式で取得した秘密鍵ファイルは、通常は .key ファイル拡張子を持ちます。

      [サンプルを表示] をクリックして、正しい秘密鍵形式を確認してください。詳細については、「秘密鍵の形式の要件」をご参照ください。

      重要

      このフィールドは、サーバー証明書の場合にのみ必須です。

      リージョン

      証明書を使用するすべてのリージョンを選択してください。証明書は、作成後は、指定されていない他のリージョンでは使用できません。

    詳細情報

    使用制限

    • 各リージョンで最大 100 個のサーバー証明書と 100 個の CA 証明書を作成できます。

    • CLB は、RSA 1024、RSA 2048、RSA 4096 の公開鍵アルゴリズムをサポートしています。

    • アップロードされる証明書は PEM 形式である必要があります。BEGIN DH PARAMETERS フィールドを含む PEM 証明書ファイルはサポートされていません。これは、HTTPS リスナーが完全前方秘匿性のために ECDHE 暗号スイートを使用しているためです。ECDHE は、DHE 暗号スイートで必要なセキュリティパラメーターを使用しません。

    • 証明書は、異なる Alibaba Cloud アカウント間で共有できません。別のアカウントで証明書を使用するには、まずソースアカウントから Nginx 形式で証明書をダウンロード し、次にターゲットアカウントに 証明書をインポート する必要があります。

    API リファレンス