Alibaba Cloud サービスへの証明書のデプロイ (ECS および Simple Application Server を除く) — クラウドサービスデプロイ - Certificate Management Service

このトピックでは、デプロイメントタスクを作成し、指定した時間に 1 つ以上の SSL 証明書を Alibaba Cloud サービスにデプロイする方法について説明します。

前提条件

このトピックは、ECS または Simple Application Server には適用されません。証明書を ECS インスタンスまたは Simple Application Server インスタンスにデプロイするには、「Alibaba Cloud ECS インスタンスまたは Simple Application Server インスタンスで証明書を更新する (初回デプロイではない場合)」をご参照ください。
Certificate Management Service から証明書を購入して申請済みであり、その ステータス が 発行済み であること。詳細については、「公式証明書の購入」および「証明書のリクエスト」をご参照ください。
発行された SSL 証明書の名前には、中国語の文字を含めることはできません。以下の図に例を示します。
証明書のステータスを確認し、証明書が宛先ドメイン名と一致することを確認します。
証明書のステータスとドメイン名の一致を確認する
SSL 証明書管理 ページで、デプロイする証明書を見つけ、以下の情報を確認します。
1. 証明書のステータス：ステータスは 発行済み である必要があります。ステータスが まもなく期限切れ または 期限切れ の場合は、SSL 証明書を更新する必要があります。
2. ドメイン名のバインド：証明書は、保護したいすべてのドメイン名と一致する必要があります。一致しない場合、ユーザーが一致しないドメイン名に HTTPS 経由でアクセスすると、セキュリティ警告が表示されます。ドメイン名の追加または変更方法の詳細については、「ドメイン名の追加と置換」をご参照ください。
  証明書が宛先ドメイン名と一致するかどうかを確認する
  証明書の ドメイン名のバインド には、複数の完全一致ドメイン名とワイルドカードドメイン名を含めることができます。以下の照合ルールが適用されます。
  完全一致ドメイン名：証明書は指定されたドメイン名に対してのみ有効です。
  example.com は example.com に対してのみ有効です。
  www.example.com は www.example.com に対してのみ有効です。
  ワイルドカードドメイン名：証明書は第 1 レベルのサブドメインに対してのみ有効です。
  *.example.com は、www.example.com や a.example.com などの第 1 レベルのサブドメインに対して有効です。
  *.example.com は、ルートドメイン example.com や a.b.example.com などの複数レベルのサブドメインには無効です。
  説明
  複数レベルのサブドメインに一致させるには、ドメイン名のバインド に、a.b.example.com などの特定のサブドメイン、または *.b.example.com などの対応するワイルドカードドメイン名を含める必要があります。

制限事項

国際証明書のデプロイ

説明

ご利用のプロダクトがクラウドプロダクトデプロイ機能でサポートされていない場合は、そのクラウドプロダクトのドキュメントを参照して証明書をデプロイしてください。
以下の表で、「既存の証明書の更新」とは、証明書がすでにクラウドプロダクトにデプロイされており、置き換える必要があるシナリオを示します。

クラウドプロダクト	デプロイメントタスクのシナリオ	証明書設定シナリオ
Container Service for Kubernetes (ACK)	既存の証明書の更新	ACK マネージドクラスターおよび専用クラスター：AlbConfig 証明書設定の更新と Secret 証明書の更新。重要 Secret にデプロイした後は、Container Service for Kubernetes (ACK) で Secret を手動で変更しないでください。
Serverless App Engine - ゲートウェイルーティング	既存の証明書の更新	ゲートウェイルート (ALB および CLB) の HTTPS 転送の設定
Function Compute (FC)	既存の証明書の更新	HTTP 関数シナリオ
Microservices Engine - クラウドネイティブゲートウェイ	既存の証明書の更新	クラウドネイティブゲートウェイルーティングシナリオ
API Gateway	既存の証明書の更新	ドメイン名を使用して HTTPS 経由で API にアクセスする
Global Accelerator (GA)	既存の証明書の更新	HTTPS ドメイン名へのアクセスを安全に高速化する
Application Load Balancer (ALB) Network Load Balancer (NLB)	既存の証明書の更新	HTTPS リスナーを使用して HTTPS プロトコル経由でリクエストを転送する (サーバー証明書) 説明クライアント証明書をデプロイするには、「エンドツーエンドの HTTPS を設定して通信を暗号化する」をご参照ください。
Application Load Balancer (ALB) Network Load Balancer (NLB)	既存の証明書の更新
Alibaba Cloud CDN (CDN)	初回デプロイメント、証明書更新	HTTPS セキュアアクセラレーションシナリオ
Dynamic Content Delivery Network (DCDN)	初回デプロイメント、証明書更新	HTTPS セキュアアクセラレーションシナリオ
Edge Security Acceleration (ESA)	既存の証明書の更新	HTTPS セキュアアクセラレーションシナリオ
Object Storage Service (OSS)	既存の証明書の更新	HTTPS 経由で OSS にアクセスする説明 CDN ドメイン名がアタッチされている場合は、CDN コンソールで証明書を置き換える必要があります。
Web Application Firewall (WAF)	既存の証明書の更新	CNAME アクセスシナリオ
Anti-DDoS Pro and Anti-DDoS Premium	既存の証明書の更新	Anti-DDoS Pro および Anti-DDoS Premium のウェブサイト設定
Platform for AI (PAI)	既存の証明書の更新	Elastic Algorithm Service (EAS)：専用ゲートウェイでカスタムドメイン名を使用する

操作手順

ステップ 1：デプロイメントクォータの購入

説明

デプロイメントクォータは、アップロードされた証明書 タイプの証明書にのみ適用されます。アップロードされた証明書 以外の証明書タイプの場合は、ステップ 2：権限付与の確認に進んでください。

デプロイメントクォータが不足している場合は、デプロイメントパッケージを購入してください。。
アップロードされた証明書 タイプ以外の証明書をデプロイする場合、デプロイメントクォータは消費されません。また、同じ検証済みの個人または企業に属する異なる Alibaba Cloud アカウント間で共有される証明書についてもクォータは消費されません。デプロイメントが失敗した場合、消費されたデプロイメントクォータは返還されます。

ステップ 2：権限付与の確認

説明

デプロイメントタスクが Container Service for Kubernetes (ACK) 向けでない場合は、ステップ 3：クラウドサービスリソースへの証明書のデプロイに進んでください。

Container Service for Kubernetes (ACK) に証明書をデプロイする前に、Alibaba Cloud アカウントで ACK コンソールにログインし、AliyunCASDefaultRole ロールに宛先クラスターを管理する権限を付与します。そうしないと、デジタル証明書管理サービスコンソールがクラスターの名前空間を検出できません。

ACK 権限管理ページに移動します。[RAM ロール] タブで、AliyunCASDefaultRole と入力し、[権限の変更] をクリックします。
[権限管理] タブで、宛先クラスターに [運用保守エンジニア] 権限を付与します。

ステップ 3：クラウドサービスリソースへの証明書のデプロイ

単一の証明書をクラウドサービスリソースにデプロイする

初めてデプロイサービスを使用する場合は、画面の指示に従って必要な権限を付与します。権限を付与すると、デプロイメントタスクを作成できます。権限付与の詳細については、「クラウドリソースへのアクセス権限の付与」をご参照ください。
証明書サービスコンソールにログインします。
左側のナビゲーションウィンドウで、[証明書管理] > [SSL 証明書管理] を選択します。
SSL 証明書管理 ページで、証明書タイプのタブをクリックします。証明書リストで証明書を見つけ、[操作] 列の [デプロイ] をクリックします。
プライベート CA によって発行された証明書は、[アップロード済み証明書の管理] タブに同期されます。そのタブで管理できます。
タスクの作成 ページの リソースの選択 ステップで、1 つ以上のクラウドサービスとそのリソースを選択します。選択したリソースを調整することもできます。次に、プレビューして送信する をクリックします。
- システムは、選択された SSL 証明書を、すでに SSL 証明書が設定されているクラウドサービスリソースと自動的に照合します。表示されるダイアログボックスで、[送信] をクリックします。システムは、照合されたリソースを [選択されたリソース] セクションに追加します。その後、選択を調整できます。
- システムは、クラウドサービスのすべてのリソースを自動的に検出して取得します。対応するクラウドサービスで宛先リソースが見つからない場合は、次の項目を確認してください。
  - [リソース総数] セクションで、リソースが同期されているかどうかを確認します。リソースが同期中の場合 (図のようにステータスがグレー表示されている場合)、同期が完了するまで待ちます。同期時間は、クラウドサービスのリソース数によって異なります。
  - 同期が完了してもリソースが見つからない場合は、証明書デプロイの前提条件が満たされているかどうかを確認してください。
タスクのプレビュー パネルで、証明書インスタンスとクラウドサービスリソースに関する情報を確認します。すべてが正しい場合は、送信をクリックします。
プレビューページには、クラウドサービスに一致した証明書の数と、消費されるデプロイメントクォータの数が表示されます。一致した証明書の数が 0 の場合、選択した証明書がクラウドサービスリソースと一致せず、デプロイメントが失敗することを意味します。この場合は、選択した証明書を見直してください。

クラウドサービスリソースへの証明書の一括デプロイ

初めてデプロイサービスを使用する場合は、画面の指示に従って必要な権限を付与します。権限を付与すると、デプロイメントタスクを作成できます。権限付与の詳細については、「クラウドリソースへのアクセス権限の付与」をご参照ください。
証明書サービスコンソールにログインします。
左側のナビゲーションウィンドウで、Deployment and Resource Management > クラウドサービスへのデプロイ を選択します。

クラウドサービスへのデプロイ ページで、タスクの作成 をクリックし、次の手順に従って SSL 証明書をデプロイします。

基本設定 ステップで、タスク名、連絡先、デプロイ日時を設定します。次に、[次へ] をクリックします。

設定項目	説明
タスク名	デプロイメントタスクのカスタム名を入力します。
お問い合わせ	デプロイメントタスクの通知を受け取る連絡先を選択します。最大 10 件の連絡先を追加できます。
デプロイ時間	今すぐデプロイ：証明書を Alibaba Cloud サービスにすぐにデプロイします。カスタム時刻：デプロイメントタスクの時間を指定します。システムは指定された時間にデプロイメントタスクを開始します。

証明書の選択 ステップで、クラウドサービスリソースに対応する SSL 証明書を選択します。次に、次へをクリックします。
- プライベート CA によって発行された証明書は、[アップロード済み証明書] タブに同期されます。そのタブで選択できます。
- 1 つのデプロイメントタスクには、1 種類の証明書のみを含めることができます。
リソースの選択 ステップで、1 つ以上のクラウドサービスとそのリソースを選択します。選択したリソースを調整することもできます。次に、プレビューして送信する をクリックします。
説明
単一の SLB リスナーが複数のサーバー証明書にアタッチされているシナリオでは、一括デプロイはサポートされていません。
- システムは、選択された SSL 証明書を、すでに SSL 証明書が設定されているクラウドサービスリソースと自動的に照合します。表示されるダイアログボックスで、[OK] をクリックします。システムは、照合されたリソースを [選択されたリソース] セクションに追加します。その後、選択を調整できます。
- システムは、クラウドサービスのすべてのリソースを自動的に検出して取得します。対応するクラウドサービスで宛先リソースが見つからない場合は、次の項目を確認してください。
  - [リソース総数] セクションで、リソースが同期されているかどうかを確認します。リソースが同期中の場合 (図のようにステータスがグレー表示されている場合)、同期が完了するまで待ちます。同期時間は、クラウドサービスのリソース数によって異なります。
  - 同期が完了してもリソースが見つからない場合は、デプロイの前提条件が満たされているかどうかを確認してください。詳細については、「前提条件」をご参照ください。
タスクのプレビュー パネルで、証明書インスタンスとクラウドサービスリソースに関する情報を確認します。すべてが正しい場合は、送信をクリックします。
プレビューページには、各クラウドサービスに一致した証明書の数と、消費されるデプロイメントクォータの数が表示されます。一致した証明書の数が 0 の場合、選択した証明書がクラウドサービスリソースと一致せず、デプロイメントが失敗することを意味します。この場合は、選択した証明書を見直してください。

よくある質問

異なる Alibaba Cloud アカウント間で SSL 証明書をデプロイできますか？

Alibaba Cloud SSL 証明書をアカウント間で直接デプロイすることはできません。

複数のアカウントが同じ ID 検証エンティティに属している場合は、証明書共有機能を使用して、アカウント間で無料で証明書をデプロイできます。詳細については、「SSL 証明書のアップロード、同期、共有」をご参照ください。
アカウントが異なる ID 検証エンティティに属している場合は、ソースアカウントから証明書をダウンロードし、宛先アカウントで手動でアップロードしてデプロイする必要があります。

証明書がデプロイされた場合、Alibaba Cloud サービスで HTTPS は自動的に有効になりますか？

Certificate Management Service コンソールから Alibaba Cloud サービスに証明書をデプロイした後、証明書は対応するサービスにプッシュされるだけです。デプロイを確認するには、そのサービスのコンソールに移動する必要があります。

証明書のデプロイ中に Alibaba Cloud サービスリソースの数が 0 と表示されるのはなぜですか？

デプロイメントタスクを作成すると、システムはすべての Alibaba Cloud サービスからリソースを自動的に検出して取得します。ターゲットリソースが見つからない場合は、以下を確認してください。

総リソース エリアで、リソースの同期が完了しているかどうかを確認します。リソースが同期中の場合 (ステータスがグレーで表示されます)、プロセスが完了するまで待ちます。同期時間は、現在のクラウドプロダクトのリソース数によって異なります。
クラウドプロダクトリソースの同期が完了しても対応するリソースが見つからない場合は、証明書デプロイの初期設定が完了しているかどうかを確認してください。完了していない場合は、対応するクラウドプロダクトのコンソールに移動してデプロイを実行してください。

Certificate Management Service:クラウドプロダクト (SLB、CDN、WAF など) への SSL 証明書のインストール