Digital Certificate Management Service を使用すると、発行済みの SSL 証明書を Tencent Cloud、AWS、Huawei Cloud のクラウドリソースに直接デプロイできます。これにより、プラットフォーム間での証明書の手動ダウンロードとアップロードが不要になります。
サポートされているプラットフォーム
| クラウドプラットフォーム | サポートされている製品 |
|---|---|
| Tencent Cloud | Content Delivery Network (CDN)、Cloud Load Balancer (CLB)、Web Application Firewall (WAF) |
| AWS | Amazon CloudFront (CDN)、Elastic Load Balancing (ALB、NLB、および CLB) |
| Huawei Cloud | CDN、Elastic Load Balance (ELB) |
追加のクラウド製品のサポートをリクエストするには、ビジネスマネージャーに連絡して製品チームにリクエストを送信してください。
前提条件
開始する前に、以下を確認してください。
Certificate Management Service の、ステータスが発行済みに設定されている証明書。 取得するには、「公式証明書を購入する」および「証明書を申請する」をご参照ください。
証明書の [ステータス] が [発行済み] であり、[期限切れ間近] または [期限切れ] ではないこと。証明書が期限切れであるか、期限切れ間近の場合は、まず「証明書の更新」をご参照ください。
証明書の [バインド済みドメイン] が、保護するすべてのドメイン名をカバーしていること。ドメインが不足している場合、ユーザーが HTTPS 経由でアクセスするとセキュリティ警告が表示されます。ドメインを追加または更新するには、「ドメイン名の追加または変更」をご参照ください。
ドメインマッチングの仕組み
[バインド済みドメイン] フィールドは、完全一致ドメイン名とワイルドカードドメイン名に対応しています。
完全一致:指定されたドメインにのみ適用されます。
example.comはexample.comのみをカバーします。www.example.comはwww.example.comのみをカバーします。
ワイルドカード:ファーストレベルサブドメインにのみ適用されます。
*.example.comはwww.example.comおよびa.example.comをカバーします。*.example.comは、ルートドメインexample.comやa.b.example.comのようなマルチレベルサブドメインはカバーしません。
マルチレベルサブドメインをカバーするには、特定のサブドメイン (例: a.b.example.com) または一致するワイルドカード (例: *.b.example.com) を [バインド済みドメイン] に追加します。
サードパーティクラウドプラットフォームへの SSL 証明書のデプロイ
ステップ 1:デプロイメントクォータの購入
デプロイメントクォータは、[アップロード済み] 証明書タイプにのみ適用されます。その他のすべての証明書タイプについては、「ステップ 2」に進んでください。
デプロイメントクォータが不足している場合は、「デプロイメントクォータパッケージを購入」してください。
クォータは次の場合に消費されません。
証明書の種類は [アップロード済み] ではありません。
証明書は、同じ認証済みの個人または企業が所有するAlibaba Cloud アカウント間で共有されます。
クォータが消費された後にデプロイメントが失敗した場合、クォータは返却されます。
ステップ 2:サードパーティクラウドアカウントへの接続
サブユーザーの AccessKey ペアを追加して、Certificate Management Service にサードパーティクラウドアカウントへのアクセスを許可します。Certificate Management Service はこの AccessKey ペアを使用して、ユーザーに代わって証明書をプッシュします。
Certificate Management Service コンソールにログインします。
左側のナビゲーションウィンドウで、[包括的管理] > [マルチクラウド AK 管理] を選択します。
[マルチクラウド AK 管理] ページで、[承認の追加] をクリックします。
対象のクラウドプロバイダーを選択し、画面の指示に従ってアカウントを設定します。
以下の例は、Tencent Cloud サブユーザーを承認する方法を示しています。他のプロバイダーの手順も同様のパターンに従います。
Tencent Cloud コンソールで、「ユーザー一覧」に移動し、[ユーザーの作成] をクリックします。
[ユーザーの作成] ページで、[クイック作成] をクリックします。
[ユーザーのクイック作成] ページで、以下を設定します。
ユーザー名:カスタムユーザー名を入力します。
アクセスモード:
アイコンをクリックし、[プログラムによるアクセス] を選択します。ユーザー権限:
アイコンをクリックします。 QcloudSSLFullAccess (SSL 証明書に対する完全な読み取りおよび書き込みアクセス)および対象のクラウドプロダクトに対する読み取りおよび書き込み権限を選択します。
> **注:** Tencent Cloud CDN にデプロイするには、**QcloudCDNFullAccess** (Content Delivery Network のフル読み取り/書き込みアクセス) も付与してください。
以下の図は、正常に作成されたユーザーの例を示しています。
Certificate Management Service コンソールの [Submit AK] ウィザードで、Tencent Cloud サブユーザーまたはメインアカウントの認証情報を入力し、[OK] をクリックします。
ステップ 3:サードパーティクラウド製品への SSL 証明書のデプロイ
このステップでは、ステップ 2 で追加した AccessKey ペアが [AK を選択] オプションとして表示されます。
左側のナビゲーションウィンドウで、Deployment and Resource Management > Multi-cloud Deployment を選択します。
[マルチクラウドデプロイメント] ページで、[タスクの作成] をクリックし、デプロイメントウィザードを完了します。 基本情報の構成 次の詳細を入力し、[次へ] をクリックします。 証明書の選択 デプロイする SSL 証明書を 1 つ以上選択し、[次へ] をクリックします。 リソースの選択 システムは、接続されているクラウドプロダクトからすべてのリソースを自動的に取得します。 ターゲットリソースを選択し、[プレビューと送信] をクリックします。 タスクのプレビュー 証明書インスタンスとクラウドプロダクトリソースを確認します。 詳細が正しい場合は、[送信] をクリックします。
プライベート CA サービスによって発行された証明書は、[アップロード済み証明書] タブに表示されます。
単一のデプロイメントタスクは、1 つの証明書タイプのみをサポートします。
プレビューには、一致する証明書の数と消費されるデプロイメントクォータが表示されます。 - 一致する証明書数が 0 の場合、選択された証明書はリソースと一致せず、デプロイメントは失敗します。証明書の選択を確認して修正してください。 - 一致が見つかったが、タスク開始後にデプロイメントが失敗した場合、消費されたクォータは返却されます。
フィールド 説明 タスク名 デプロイメントタスクのカスタム名を入力します。 AK の選択 ステップ 2 で接続したアカウントを選択します。利用可能な AccessKey ペアがない場合は、[新しい AK の追加] をクリックして追加します。 連絡先 デプロイメント通知を受信する連絡先を選択します。最大 10 件の連絡先を追加できます。 デプロイメント時間 [今すぐデプロイ] を選択してすぐに開始するか、[カスタム時間] を選択してタスクをスケジュールします。
ステップ 4:SSL 証明書のインストール確認
ブラウザチェック
Web ブラウザーで HTTPS 経由でドメインにアクセスします。
https://<your-domain><your-domain> を実際のドメイン名に置き換えます。
ブラウザのアドレスバーにロックアイコンが表示されれば、証明書が正常にデプロイされたことを確認できます。
Chrome version 117 以降、
アイコンは新しい 
アイコンに置き換えられました。クリックして証明書の詳細を表示します。
ロックアイコンが表示されない場合は、ブラウザのキャッシュをクリアするか、シークレットモードで再試行してください。
問題が解決しない場合は、「よくある質問」セクションをご参照ください。
よくある質問
インストールまたは更新後に証明書が機能しない、または HTTPS にアクセスできないのはなぜですか?
以下の原因を順番に確認してください。
証明書でカバーされていないドメイン:アクセスされたドメインが証明書の [バインド済みドメイン] にありません。さらに調査する前に、「証明書がドメインをカバーしているか確認する」をご参照ください。
接続されたサービスに証明書がない:ドメインが CDN、Server Load Balancer (SLB)、または Web Application Firewall (WAF) を経由する場合、証明書は各サービスに個別にインストールする必要があります。「トラフィックが複数の Alibaba Cloud サービスを通過する場合の証明書のデプロイ場所」で完全なセットアップを確認してください。
サーバー全体でのデプロイメントが不完全:ドメインの DNS が複数のサーバーに解決される場合、証明書はすべてのサーバーにインストールする必要があります。
古い証明書ファイル:サーバー上の証明書ファイルが最新の発行済みバージョンであることを確認してください。
さらなるトラブルシューティングについては、「ブラウザのエラーメッセージに基づく証明書のデプロイメント問題の解決」および「SSL 証明書デプロイメントトラブルシューティングガイド」をご参照ください。
異なる Alibaba Cloud アカウントのクラウドリソースに証明書をデプロイできますか?
直接的なクロスアカウントデプロイメントはサポートされていません。
同じエンティティ:両方のアカウントが同じ認証済み個人または企業に属している場合、証明書共有機能を使用して無料のクロスアカウントデプロイメントを行います。「SSL 証明書のアップロード、同期、共有」をご参照ください。
異なるエンティティ:ソースアカウントから証明書をダウンロードし、対象アカウントに手動でアップロードしてデプロイします。
証明書デプロイ後に HTTPS は自動的に有効になりますか?
いいえ。正常なデプロイメントとは、Certificate Management Service が証明書をクラウド製品に配信したことを意味します。その製品のコンソールに移動して、HTTPS トラフィックを有効にして設定してください。