1 つまたは複数の SSL 証明書を Alibaba Cloud サービスに、個別に、一括で、またはスケジュールに基づいてデプロイします。このトピックでは、Certificate Management Service コンソールを介した Application Load Balancer (ALB)、Network Load Balancer (NLB)、コンテンツデリバリーネットワーク (CDN)、Dynamic Content Delivery Network (DCDN)、Web Application Firewall (WAF)、Object Storage Service (OSS)、Container Service for Kubernetes (ACK) などのサービスへのデプロイメントについて説明します。
Elastic Compute Service (ECS) インスタンスまたは Simple Application Server に証明書をデプロイするには、「Alibaba Cloud ECS インスタンスまたは Simple Application Server インスタンス上の既存の証明書を更新する」をご参照ください。
前提条件
開始する前に、以下のすべてを確認してください。
Certificate Management Service で証明書が購入および申請されており、その ステータス が 発行済み であることを確認します。「公式証明書を購入する」および「証明書を申請する」をご参照ください。
発行された SSL 証明書のエイリアスに中国語の文字が含まれていないことを確認します。

証明書の ステータス が 発行済み であることを確認します。ステータスが 有効期限切れ間近 または 有効期限切れ の場合、続行する前に「SSL 証明書を更新」してください。
証明書の バインド済みドメイン が、保護したいドメイン名と一致していることを確認します。不一致があると、ユーザーが HTTPS 経由でドメインにアクセスしたときにブラウザセキュリティ警告が表示されます。ドメイン名を追加または変更するには、「ドメイン名の追加と置き換え」をご参照ください。
ドメインマッチングルール
証明書の バインド済みドメイン には、完全一致ドメイン名とワイルドカードドメイン名を含めることができます。
完全一致ドメイン名 — 指定されたドメイン名にのみ適用されます。
example.comはexample.comのみをカバーします。www.example.comはwww.example.comのみをカバーします。
ワイルドカードドメイン名 — 第1レベルのサブドメインにのみ適用されます。
*.example.comはwww.example.comおよびa.example.comをカバーします。*.example.comはルートドメインexample.comやa.b.example.comのようなマルチレベルサブドメインはカバーしません。
マルチレベルサブドメインと一致させるには、バインド済みドメインにその特定のドメイン名 (例:a.b.example.com) または対応するワイルドカードドメイン名 (例:*.b.example.com) を含める必要があります。
サポートされているクラウドサービス
以下の表に、Certificate Management Service を介した国際証明書のデプロイメントをサポートするクラウドサービスを示します。
クラウドサービスがリストにない場合は、そのサービスのコンソールから直接証明書をデプロイしてください。
以下の表で、既存の証明書を更新とは、クラウドサービスにすでに証明書がデプロイされており、それを置き換える必要があるシナリオを指します。
| クラウドサービス | サポートされているデプロイメントシナリオ | 証明書構成 |
|---|---|---|
| Container Service for Kubernetes (ACK) | 既存の証明書を更新 | ACK マネージドクラスターおよび専用クラスター: AlbConfig 証明書構成、Secret 証明書。 重要 ACK コンソールで Secret を手動で変更しないでください。 |
| Serverless App Engine — ゲートウェイルーティング | 既存の証明書を更新 | HTTPS 転送プロトコル (ALB および CLB) を使用したゲートウェイルーティング |
| Function Compute (FC) | 既存の証明書を更新 | HTTP トリガー関数 |
| Microservices Engine — クラウドネイティブゲートウェイ | 既存の証明書を更新 | クラウドネイティブゲートウェイルーティング |
| API Gateway | 既存の証明書を更新 | HTTPS ドメイン名経由の API アクセス |
| Global Accelerator (GA) | 既存の証明書を更新 | HTTPS ドメイン名とセキュアアクセラレーション |
| Application Load Balancer (ALB) | 既存の証明書を更新 | HTTPS リスナー (サーバー証明書)。クライアント証明書をデプロイするには、「エンドツーエンド HTTPS を構成して通信を暗号化する」をご参照ください。 |
| Network Load Balancer (NLB) | 既存の証明書を更新 | HTTPS リスナー (サーバー証明書) |
| コンテンツデリバリーネットワーク (CDN) | 初期デプロイメント、既存の証明書を更新 | HTTPS セキュアアクセラレーション |
| Dynamic Content Delivery Network (DCDN) | 初期デプロイメント、既存の証明書を更新 | HTTPS セキュアアクセラレーション |
| Edge Security Acceleration (ESA) | 既存の証明書を更新 | HTTPS セキュアアクセラレーション |
| Object Storage Service (OSS) | 既存の証明書を更新 | HTTPS 経由での OSS アクセス。 説明 CDN 加速ドメインがバケットにバインドされている場合は、代わりに CDN コンソールで証明書を置き換えてください。 |
| Web Application Firewall (WAF) | 既存の証明書を更新 | プロキシモード経由でのオンボーディング |
| Anti-DDoS Proxy | 既存の証明書を更新 | Anti-DDoS Proxy ドメイン名アクセス |
| Platform for AI (PAI) | 既存の証明書を更新 | オンラインモデルサービス向けの Elastic Algorithm Service (EAS): カスタムドメイン名を持つ専用ゲートウェイ |
ステップ 1: デプロイメントクォータの購入
アップロード済み証明書のみがデプロイメントクォータを消費します。他のすべての証明書タイプについては、「ステップ 2: 権限の確認」にスキップしてください。
| ルール | 詳細 |
|---|---|
| アップロード済み証明書以外の証明書 | クォータを消費しません |
| 同じ認証済み個人または企業に属するアカウント間で共有される証明書 | クォータを消費しません |
| 失敗したデプロイメント | クォータが返却されました |
クォータが不足している場合は、デプロイメントパッケージを購入してください。
ステップ 2: 権限の確認
このステップは ACK デプロイメントにのみ適用されます。他のすべてのクラウドサービスについては、「ステップ 3: 証明書のデプロイ」にスキップしてください。
証明書を ACK にデプロイする前に、Alibaba Cloud アカウントで [ACK コンソール] にログインし、送信先クラスターを管理するための AliyunCASDefaultRole ロールの権限を付与してください。この権限がない場合、Certificate Management Service はクラスターの名前空間を検出できません。
ACK Authorization Management に移動します。[RAM ロール] タブで、
AliyunCASDefaultRoleを入力し、[権限の変更] をクリックします。[権限管理] タブで、送信先クラスターに O&M エンジニア 権限を付与します。

ステップ 3: 証明書のデプロイ
単一証明書のデプロイ
デプロイメントサービスを初めて使用する場合は、プロンプトに従ってアクセスを許可してください。詳細については、「クラウドリソースへのアクセス権限を付与する」をご参照ください。
Certificate Management Service コンソールにログインします。
左側のナビゲーションウィンドウで、証明書管理 > SSL 証明書管理 を選択します。
[SSL 証明書管理] ページで、適切な証明書タブをクリックし、証明書を見つけ、[デプロイ] を [操作] 列からクリックします。
プライベートCAによって発行された証明書は、[アップロード済み証明書] タブに同期されます。
「[タスクの作成]」ページの「Select Resource」ステップで、クラウドサービスおよびリソースを選択または調整し、「[プレビューと送信]」をクリックします。
システムは、既に SSL 証明書が設定されているクラウドサービスリソースを自動的にマッチさせます。自動マッチングダイアログボックスで、[OK] をクリックします。マッチしたリソースは、[選択済みリソース] エリアに追加され、必要に応じて調整できます。

リソースが表示されない場合は、[合計リソース] セクションを確認してください。グレーアウト表示されているリソースはまだ同期中です。プロセスが完了するまでお待ちください。同期時間は、クラウドサービス内のリソース数によって異なります。

同期が完了してもリソースが表示されない場合は、すべてのデプロイメント前提条件を満たしていることを確認してください。
[タスクプレビュー] パネルで、証明書インスタンスとクラウドサービスリソースの詳細を確認し、[送信] をクリックします。プレビューには、クラウドサービスごとに一致する証明書の数と消費されるデプロイメントクォータが表示されます。一致数が 0 の場合、選択した証明書はクラウドサービスリソースと一致せず、デプロイメントは失敗します。送信する前に選択内容を確認してください。
複数証明書のデプロイ
デプロイメントサービスを初めて使用する場合は、プロンプトに従ってアクセスを許可してください。詳細については、「クラウドリソースへのアクセス権限を付与する」をご参照ください。
Certificate Management Service コンソールにログインします。
左側のナビゲーションウィンドウで、[デプロイメントとリソース管理] > [クラウドサービスへのデプロイメント] を選択します。
[クラウドサービスへのデプロイメント] ページで、[タスクの作成] をクリックし、以下の手順を実行します。
a. 基本情報の構成
パラメーター 説明 [タスク名] デプロイメントタスクのカスタム名 お問い合わせ デプロイメント通知を受信する連絡先。最大 10 件の連絡先。 デプロイメント時間 [今すぐデプロイ]: すぐにデプロイします。[カスタム時間]: 特定の時間にタスクをスケジュールします。 [次へ] をクリックしてください。
B. 証明書の選択
クラウドリソース用の SSL 証明書を選択し、[次へ] をクリックします。
プライベート CA によって発行された証明書は、[アップロード済み証明書] タブにあります。
単一のデプロイメントタスクには、1 つの証明書タイプのみを含めることができます。
C. リソースの選択
クラウドサービスとリソースを選択または調整し、その後、[プレビューして送信] をクリックします。
複数のサーバー証明書を持つ SLB リスナーでは、一括デプロイメントはサポートされていません。
システムは、SSL 証明書が設定済みのリソースを自動的に照合します。マッチングダイアログボックスで [OK] をクリックして、それらを [選択済みリソース] エリアに追加します。

リソースが表示されない場合は、[合計リソース] セクションを確認してください。グレー表示は、同期が進行中であることを示します。完了するまでお待ちください。

同期が完了してもリソースが表示されない場合は、シナリオが初期デプロイメントをサポートしていることを確認してください。「前提条件」をご参照ください。
d. レビューして送信
[タスクプレビュー] パネルで、証明書インスタンスとリソースの詳細を確認してください。一致件数が 0 の場合、証明書が選択されたリソースと一致していないことを意味し、デプロイメントは失敗します。選択内容を確認してから、[送信] をクリックしてください。
その他の操作
デプロイメントタスクの詳細の表示
「クラウドサービスへのデプロイメント」ページで、タスクを見つけ、[詳細] を [操作] 列でクリックします。
タスク詳細ページでは、各リソースのデプロイメントステータスを確認できます。失敗したリソースについては、失敗の理由が [アクション] 列に表示されます。
失敗理由を特定できない場合は、アカウントマネージャーに連絡してください。
デプロイメントタスクのロールバック
ロールバックが成功してもデプロイメントクォータは返金されません。
デプロイメントを元に戻すには (たとえば、間違った証明書がデプロイされた場合など)、デプロイメント開始前の状態にロールバックします。
[クラウドサービスへのデプロイメント] ページで、タスクを見つけ、[アクション] 列の [詳細] をクリックします。
タスクの詳細ページで、クラウドサービスをクリックし、リソースを見つけ、[ロールバック] を [操作] 列でクリックします。
ロールバックが成功すると、タスクのステータスは[ロールバック済み]に変わります。
デプロイメントタスクの削除
削除されたタスクは回復できません。
[クラウドサービスへのデプロイメント] ページで対象のタスクを探し、[操作] 列の [削除] をクリックします。一度に複数のタスクを削除するには、それらを選択してリストの下部にある [削除] をクリックします。
よくある質問
異なる Alibaba Cloud アカウント間で SSL 証明書をデプロイできますか?
SSL 証明書はアカウント間で直接デプロイできません。
アカウントが本人確認を完了した同じ個人または企業に属している場合は、証明書共有機能を使用して無料でクロスアカウントデプロイメントを行ってください。「SSL 証明書のアップロード、同期、共有」をご参照ください。
アカウントが異なるエンティティに属している場合、元のアカウントから証明書をダウンロードし、手動で対象アカウントにアップロードしてデプロイします。
証明書をデプロイすると、クラウドサービスで HTTPS が自動的に有効になりますか?
いいえ。デプロイメントが成功したということは、証明書がクラウドサービスに配信されたことを意味します。そのサービスのコンソールに移動して HTTPS を有効にし、構成してください。
デプロイメント中にリソース数が 0 と表示されるのはなぜですか?
デプロイメントタスクを作成すると、システムはリソースを自動的に検出します。リソースが表示されない場合は、以下を確認してください。
「[合計リソース]」セクションを確認してください。グレーアウト状態は、同期がまだ実行中であることを意味します — 完了するまでお待ちください。

同期が完了してもリソースが表示されない場合は、シナリオが初期デプロイメントをサポートしているかどうかを確認してください。サポートしていない場合は、まず対応するクラウドサービスのコンソールから証明書をデプロイしてください。「初期構成」をご参照ください。