SLB、CDN、WAF への SSL 証明書のバッチデプロイ - Certificate Management Service

このトピックでは、1 つまたは複数の SSL 証明書を Alibaba Cloud 製品に個別、一括、またはスケジュール時刻にデプロイする方法について説明します。

前提条件

このトピックでは、Elastic Compute Service (ECS) または Simple Application Server への証明書のデプロイについては説明しません。ECS インスタンスまたは Simple Application Server に証明書をデプロイするには、「Alibaba Cloud ECS インスタンスまたは Simple Application Server インスタンス上の既存の証明書を更新する」をご参照ください。
Certificate Management Service で証明書を購入および申請し、そのステータスが発行済みである必要があります。証明書の購入および申請については、「公式証明書の購入」および「証明書の申請」をご参照ください。
発行された SSL 証明書のエイリアスに中国語文字を含めることはできません。次の図をご参照ください：
証明書のステータスと、ターゲットドメイン名との一致を確認します。
証明書ステータスとドメイン名の一致を確認する
「SSL 証明書管理」ページで、対象の証明書を見つけ、以下の内容を確認してください。
1. 証明書のステータス: ステータスが発行済みであることを確認してください。ステータスがまもなく期限切れまたは期限切れの場合、SSL 証明書を更新する必要があります。
2. ドメイン名のバインド: 保護したいドメイン名と一致していることを確認してください。一致しないドメイン名に HTTPS 経由でアクセスすると、セキュリティ警告が表示されます。詳細については、「ドメイン名の追加および置き換え」をご参照ください。
  証明書がターゲットドメイン名と一致するかどうかを確認する
  証明書のドメイン名のバインドには、完全一致ドメイン名とワイルドカードドメイン名を含めることができます。照合ルールは次のとおりです。
  完全一致ドメイン名：指定されたドメイン名に対してのみ有効です。
  example.com は example.com に対してのみ有効です。
  www.example.com は www.example.com に対してのみ有効です。
  ワイルドカードドメイン名：その第 1 レベルのサブドメインに対してのみ有効です。
  *.example.com は www.example.com や a.example.com などの第 1 レベルのサブドメインに対して有効です。
  *.example.com は、ルートドメイン名 example.com や a.b.example.com などの複数レベルのサブドメインには有効ではありません。
  説明
  マルチレベルサブドメインに一致させるには、ドメイン名のバインド にその特定のドメイン名（例： a.b.example.com）または対応するワイルドカードドメイン名（例： *.b.example.com）を含める必要があります。

制限事項

国際証明書のデプロイ

説明

クラウド製品のデプロイ機能がご利用の製品をサポートしていない場合は、その製品のドキュメントに従って証明書をデプロイする必要があります。
以下の表で、「既存の証明書を更新」とは、クラウド製品に既に証明書がデプロイされており、それを置き換える必要があるシナリオを指します。

クラウド製品	デプロイタスクのシナリオ	証明書構成シナリオ
Container Service for Kubernetes (ACK)	既存の証明書を更新	ACK のマネージドクラスターおよび専用クラスター：AlbConfig 証明書構成の更新、Secret 証明書の更新重要 Secret にデプロイする際、ACK コンソールで手動で変更しないでください。
Serverless App Engine - ゲートウェイルーティング	既存の証明書を更新	HTTPS 転送プロトコルを使用したゲートウェイルーティング (ALB および CLB)
Function Compute (FC)	既存の証明書を更新	HTTP トリガー関数
Microservices Engine - クラウドネイティブゲートウェイ	既存の証明書を更新	クラウドネイティブゲートウェイルーティング
API Gateway	既存の証明書を更新	HTTPS ドメイン名経由の API アクセス
Global Accelerator (GA)	既存の証明書を更新	セキュアアクセラレーション付きの HTTPS ドメイン名
Application Load Balancer (ALB) Network Load Balancer (NLB)	既存の証明書を更新	HTTPS プロトコルシナリオからリクエストを転送する HTTPS リスナー (サーバー証明書) 説明クライアント証明書をデプロイするには、「エンドツーエンドの HTTPS を構成して通信を暗号化する」をご参照ください。
Application Load Balancer (ALB) Network Load Balancer (NLB)	既存の証明書を更新
コンテンツデリバリーネットワーク (CDN)	初回デプロイ既存の証明書を更新	HTTPS セキュアアクセラレーション
Dynamic Content Delivery Network (DCDN)	初回デプロイ既存の証明書を更新	HTTPS セキュアアクセラレーション
Edge Security Acceleration (ESA)	既存の証明書を更新	HTTPS セキュアアクセラレーション
Object Storage Service (OSS)	既存の証明書を更新	HTTPS 経由での OSS サービスへのアクセス説明 CDN 加速ドメイン名がバインドされている場合、CDN コンソールで証明書を置き換える必要があります。
Web Application Firewall (WAF)	既存の証明書を更新	プロキシモードによるオンボーディング
Anti-DDoS Proxy	既存の証明書を更新	Anti-DDoS Proxy ドメイン名アクセス
Platform for AI (PAI)	既存の証明書を更新	Elastic Algorithm Service (EAS) for online model services：カスタムドメイン名を使用した専用ゲートウェイ

操作手順

ステップ 1：デプロイクォータの購入

説明

アップロードされた証明書 証明書のデプロイメントのみがクォータを消費します。その他のタイプの場合は、ステップ 2: 権限付与の確認に進んでください。

デプロイクォータが不足している場合は、デプロイメントパッケージを購入してください。。
デプロイメントクォータは、「アップロードされた証明書 証明書」タイプ以外の証明書、または本人確認を完了した同一の個人または企業ユーザーに属する Alibaba Cloud アカウント間で共有される証明書については消費されません。デプロイメントが失敗した場合、対応するデプロイメントクォータは返金されます。

ステップ 2：権限付与の確認

説明

ACK を含まないデプロイタスクについては、ステップ 3：クラウドリソースへの証明書のデプロイに進んでください。

ACK に証明書をデプロイする前に、Alibaba Cloud アカウントで ACK コンソールにログインし、AliyunCASDefaultRole ロールに送信先クラスターを管理する権限を付与します。そうしないと、Certificate Management Service コンソールがクラスターの名前空間を検出できません。

ACK Authorization Management ページに移動します。[RAM ロール] タブで、AliyunCASDefaultRole を入力し、[権限の変更] をクリックします。
「[権限管理]」タブで、送信先クラスターに「[運用・保守エンジニア]」権限を付与します。

ステップ 3：クラウドリソースへの証明書のデプロイ

単一の証明書をクラウドリソースにデプロイする

初めてデプロイサービスを使用する場合、プロンプトに従ってアクセス権を付与し、デプロイタスクを作成します。権限付与の詳細については、「クラウドリソースへのアクセス権限の付与」をご参照ください。
Certificate Management Service コンソールにログインします。
左側のナビゲーションウィンドウで、証明書管理 > SSL 証明書管理を選択します。
SSL 証明書管理 ページで該当する証明書タブをクリックし、証明書リストで証明書を見つけ、[デプロイ] を [操作] 列でクリックします。
プライベートCAによって発行された証明書は、[アップロード済み証明書] タブに同期され、そこで管理できます。
「リソースの選択」ステップ（タスクの作成 ページ内）で、クラウドプロダクトおよびリソースを選択または調整し、「プレビューして送信する」をクリックします。
- システムは、既に SSL 証明書が設定されているクラウドプロダクトリソースを自動的に照合します。自動照合ダイアログボックスで、[OK] をクリックします。システムは、照合されたリソースを [選択されたリソース] エリアに追加し、必要に応じて調整できます。
- システムは、ご利用のクラウド製品からすべてのリソースを自動的に検出し、取得します。ターゲットリソースが見つからない場合は、以下を確認してください：
  - 「[合計リソース]」セクションで、リソースの同期が完了しているかどうかを確認します。リソースの同期がまだ進行中の場合（グレーアウト状態で示されます）、処理が完了するまでお待ちください。同期に要する時間は、お客様のクラウドプロダクト内のリソース数によって異なります。
  - 同期が完了してもリソースが見つからない場合は、証明書デプロイの前提条件を満たしていることを確認してください。
「タスクのプレビュー」パネルで、証明書インスタンスとクラウドプロダクトのリソース情報を確認します。すべてが正しい場合は、「送信」をクリックします。
プレビューページには、各クラウド製品に一致する証明書の数と、消費されるデプロイクォータが表示されます。一致数が 0 の場合、選択した証明書がクラウド製品リソースと一致しないことを示し、デプロイが失敗します。選択内容を慎重に確認してください。

複数の証明書をクラウドリソースにデプロイする

初めてデプロイサービスを使用する場合、プロンプトに従ってアクセス権を付与し、デプロイタスクを作成します。権限付与の詳細については、「クラウドリソースへのアクセス権限の付与」をご参照ください。
Certificate Management Service コンソールにログインします。
左側のナビゲーションウィンドウで、Deployment and Resource Management > クラウドサービスへのデプロイ を選択します。

クラウドサービスへのデプロイ ページで、タスクの作成 をクリックし、次の手順に従って SSL 証明書をデプロイします。

基本設定 ステップで、タスク名、連絡先、およびデプロイメント時間を設定します。次に、[次へ] をクリックします。

パラメーター	説明
タスク名	デプロイタスクのカスタム名を入力します。
連絡先	デプロイタスクの通知を受け取る連絡先を選択します。最大 10 件の連絡先を追加できます。
デプロイ時間	今すぐデプロイ: 証明書をクラウドプロダクトにすぐにデプロイします。カスタム時刻: 指定した時間にデプロイメントタスクが開始されるようにスケジュールします。

証明書の選択 ステップで、クラウドリソースに対応する SSL 証明書を選択します。その後、次へをクリックします。
- プライベートCAによって発行された証明書は、[アップロード済み証明書] タブに同期され、ここで選択できます。
- 1 つのデプロイタスクには、1 種類の証明書のみを含めることができます。
「リソースの選択」ステップで、クラウドプロダクトおよびリソースを選択または調整し、その後「プレビューして送信する」をクリックします。
説明
複数のサーバー証明書を持つ SLB リスナーでは、一括デプロイはサポートされていません。
- システムは、既に SSL 証明書が設定されているクラウドプロダクトのリソースを自動的にマッチします。自動マッチングダイアログボックスで、[OK] をクリックします。システムは、マッチしたリソースを [選択済みリソース] エリアに追加します。これは必要に応じて調整できます。
- システムは、ご利用のクラウド製品からすべてのリソースを自動的に検出し、取得します。ターゲットリソースが見つからない場合は、以下を確認してください：
  - 「[合計リソース]」セクションで、リソースの同期が完了しているかどうかを確認します。リソースの同期がまだ進行中の場合（グレーアウト状態で示されます）、処理が完了するまでお待ちください。同期時間はリソース数によって異なります。
  - 同期が完了してもリソースが見つからない場合は、ご利用のシナリオが初回デプロイをサポートしているか確認してください。デプロイ手順については、「前提条件」をご参照ください。
タスクのプレビュー パネルで証明書インスタンスとクラウドプロダクトのリソース情報を確認し、問題がなければ送信をクリックします。
プレビューページには、各クラウド製品に一致する証明書の数と、消費されるデプロイクォータが表示されます。一致数が 0 の場合、選択した証明書がリソースと一致しないことを示し、デプロイが失敗します。選択内容を慎重に確認してください。

その他の操作

デプロイタスクの詳細を表示する

「[クラウドサービスへのデプロイメント]」ページで、デプロイメントタスクを見つけ、「[操作]」列の「[詳細]」をクリックします。
タスクの詳細ページでは、各インスタンスリソースのデプロイメントステータスを表示できます。リソースのデプロイメントが失敗した場合、[操作] 列で失敗理由を確認し、追加の操作を実行できます。
失敗の具体的な理由が特定できない場合は、アカウントマネージャーに支援を依頼してください。

デプロイタスクをロールバックする

重要

ロールバックが成功しても、デプロイクォータは返金されません。

証明書が正しくないなどの理由でデプロイをロールバックするには、デプロイ開始前の状態にロールバックできます：

[クラウドサービスへのデプロイ] ページで、デプロイメントタスクを見つけ、[操作] 列の [詳細] をクリックします。
タスクの詳細ページで、クラウドプロダクトをクリックし、インスタンスリソースを見つけ、次に[ロールバック]を[アクション]列でクリックします。
ロールバックが成功すると、タスクステータスは[ロールバック済み] に変わります。

デプロイタスクを削除する

重要

削除されたタスクは回復できません。慎重に進めてください。

[クラウドサービスへのデプロイメント] ページで、デプロイメントタスクを検索し、[アクション] 列の [削除] をクリックします。また、複数のデプロイメントタスクを選択し、リストの下部にある [削除] をクリックすることもできます。

よくある質問

異なる Alibaba Cloud アカウント間で SSL 証明書をデプロイできますか？

異なるアカウント間で SSL 証明書を直接デプロイすることはできません。

アカウントが本人確認を完了した同じエンティティに属している場合、証明書共有機能を使用して無料でアカウント間のデプロイが可能です。詳細については、「SSL 証明書のアップロード、同期、共有」をご参照ください。
アカウントが異なるエンティティに属している場合は、元のアカウントから証明書をダウンロードし、ターゲットアカウントで手動でアップロードしてデプロイする必要があります。

証明書が正常にデプロイされた後、クラウド製品で HTTPS は自動的に有効になりますか？

いいえ。Certificate Management Service コンソールでのデプロイ成功は、証明書が対応するクラウド製品に配信されたことを意味するだけです。HTTPS トラフィックを有効にして構成するには、その製品のコンソールに移動する必要があります。

デプロイ中にクラウドリソースの数が 0 と表示されるのはなぜですか？

デプロイタスクを作成すると、システムは自動的にリソースを検出します。ターゲットリソースが見つからない場合は、以下を確認してください：

「総リソース」エリアで、リソースの同期が完了していることを確認します。リソースの同期中（薄く表示された状態）の場合は、しばらくお待ちください。同期時間は、お客様のリソース数によって異なります。
同期が完了してもリソースが見つからない場合は、ご利用のシナリオが初回デプロイをサポートしているか確認してください。サポートしていない場合は、まず対応するクラウド製品のコンソールでデプロイする必要があるかもしれません。詳細については、「初期構成」をご参照ください。