証明書アプリケーションリポジトリを作成した後、コンソールまたは API を通じてリポジトリ内の証明書を管理できます。管理操作には、証明書の申請、アップロード、失効、削除などがあります。また、証明書アプリケーションリポジトリ API を呼び出して、リポジトリ内の証明書を使用してデータを暗号化または復号化したり、電子契約への署名や検証を行ったりすることもできます。
前提条件
証明書アプリケーションリポジトリが作成されている必要があります。詳細については、「証明書アプリケーションリポジトリの作成と管理」をご参照ください。
コンソールでのリポジトリ証明書の管理
Certificate Management Service では、証明書アプリケーションリポジトリ内の証明書を管理できます。これには、証明書の詳細表示、証明書の申請またはアップロード、証明書の失効、証明書のダウンロード、証明書の削除が含まれます。
アクセス手順
Certificate Management Service コンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。
-
証明書アプリケーションリポジトリ ページで、対象の証明書アプリケーションリポジトリをクリックします。
-
証明書管理 ページで、証明書アプリケーションリポジトリ内の証明書を管理します。
Alibaba Cloud プライベート証明書リポジトリ (証明書申請)
-
証明書管理 ページで、アプリケーション証明書 をクリックします。
-
アプリケーション証明書 パネルで、次の表に従ってプライベート証明書のパラメーターを設定し、申請の確認 をクリックします。
設定項目
説明
[証明書タイプ]
[サーバー証明書]:アプリケーションサーバーにインストールし、サーバー側の ID 認証に使用します。
[クライアント証明書]:クライアントにインストールし、クライアント側の ID 認証に使用します。
[共通名 (cn)]
証明書サブジェクトの共通名。
[有効期間]
プライベート証明書の有効期間。
有効期間は、下位 CA のサービス期間に依存します。
サービス期間が 1 年未満の場合、証明書の有効期間は購入した PCA サービスの期間を超えることはできません。たとえば、1 か月間の PCA サービスを購入した場合、証明書の最大有効期間は 31 日です。有効期間を延長するには、PCA サービスを更新してください。更新手順については、「更新ポリシー」をご参照ください。
サービス期間が 1 年以上の場合、サポートされる証明書の有効期間は 1 年から 100 年の範囲です。
[拡張san]
プライベート証明書の SAN 拡張プロパティ。証明書を複数のサブジェクトに適用するために使用されます。
証明書を複数のサブジェクトに適用する必要がある場合は、SAN 拡張を使用して他のサブジェクト情報を追加してください。
サーバー証明書の場合は、ドメイン名または IP アドレスを入力してください。クライアント証明書の場合は、メールアドレスまたは URI を入力してください。
最大 10 個の SAN 拡張を追加できます。
説明SAN (サブジェクトの別名) は、X.509 標準で定義された拡張フィールドであり、1 つの証明書で複数のドメイン名をサポートできます。
URI (統一資源識別子) は、証明書に関連付けられた Alibaba Cloud リソースを識別します。たとえば、プライベート証明書がデプロイされている Elastic Compute Service (ECS) インスタンスなどです。
[詳細]
証明書に証明書名、会社、または部署の情報を追加するには、詳細 をクリックします。
[CRL アドレスが含まれているかどうか]
デフォルトで有効になっています。CRL の詳細については、「CRL サービス」をご参照ください。
Alibaba Cloud コンプライアンス証明書リポジトリ (証明書申請)
-
証明書管理 ページで、アプリケーション証明書 をクリックします。
-
アプリケーション証明書 パネルで、次の表に従ってコンプライアンス証明書のパラメーターを設定し、申請の確認 をクリックします。
パラメーター
説明
[氏名]
証明書の所有者の名前。
[詳細]
証明書に証明書名、会社、部門の情報を追加するには、詳細 をクリックして設定します。
アップロード証明書リポジトリ (証明書のアップロード)
-
証明書管理 ページで、証明書のアップロード をクリックします。
-
Ca情報 パネルで証明書のパラメーターを設定し、確認して有効にする をクリックします。
パラメーター
説明
[名前]
アップロードする証明書の名前を設定します。
名前には、文字、ピリオド (.)、数字、アンダースコア (_)、ハイフン (-) を使用できます。
[証明書ファイル]
PEM 形式の証明書ファイルの内容を入力します。
PEM または CRT 形式の証明書ファイルをテキストエディターで開き、内容をコピーしてテキストボックスに貼り付けます。テキストボックスの下にある アップロードされたファイルの解析 をクリックして、ローカルの証明書ファイルをアップロードすることもできます。
[証明書秘密鍵]
PEM 形式の証明書の秘密鍵の内容を入力します。次の方法がサポートされています。
-
手動入力:KEY 秘密鍵ファイルをテキストエディターで開き、内容をコピーしてテキストボックスに貼り付けます。
-
ローカルの秘密鍵ファイルをアップロード:テキストボックスの下にある アップロードされたファイルの解析 をクリックして、ローカルの秘密鍵ファイルをアップロードします。
-
既存の証明書署名要求 (CSR) を選択:Digital Certificate Management Service コンソールで作成またはアップロードした CSR を選択できます。システムは自動的に CSR を対応する証明書ファイルと照合します。詳細については、「CSR の作成またはアップロード」をご参照ください。
説明アップロード後に証明書と秘密鍵の不一致エラーが発生した場合、秘密鍵ファイルに RSA 文字が含まれている可能性があります。
openssl rsa -in <original_private_key_file> -out <new_private_key_file>コマンドを実行してファイルを変換し、再度アップロードしてください。 -
CA 証明書リポジトリのアップロード (証明書のアップロード)
-
証明書管理 ページで、証明書のアップロード をクリックします。
-
Ca情報 パネルで証明書のパラメーターを設定し、確認して有効にする をクリックします。
パラメーター
説明
[名前]
アップロードする CA ファイルの名前を設定します。
名前には、文字、ピリオド (.)、数字、アンダースコア (_)、ハイフン (-) を使用できます。
[CA ファイル]
完全な証明書チェーンを含む CA 証明書ファイルの内容 (PEM 形式) を入力します。
PEM または CRT 形式の CA ファイルをテキストエディターで開き、内容をコピーしてテキストボックスに貼り付けます。テキストボックスの下にある ビジネスライセンスの写真をアップロードする をクリックして、ローカル CA ファイルをアップロードすることもできます。
説明証明書チェーンが不完全な場合、Alibaba Cloud Server Load Balancer で HTTPS リスナーを設定し、この CA 証明書を選択した後、ロードバランサーはクライアントとの暗号化接続を確立できません。HTTPS リスナーの設定については、「HTTPS リスナーの追加 (ALB)」、「TCPSSL リスナーの追加 (NLB)」、または「HTTPS リスナーの追加 (CLB)」をご参照ください。
証明書の表示、ダウンロード、失効、削除、および秘密鍵の追加
|
シナリオ |
手順 |
|
証明書の詳細表示 |
証明書管理 ページで、対象の証明書を見つけ、操作 列の 詳細 をクリックします。 証明書の識別子 (一意の識別コード)、発行時刻、有効期限、暗号化アルゴリズム、その他の情報を表示できます。 |
|
秘密鍵の追加 |
|
|
証明書の失効 |
警告
失効した証明書は復元できません。操作は慎重に行ってください。 |
|
証明書のダウンロード |
証明書管理 ページで、対象の証明書を見つけ、操作 列の ダウンロード をクリックします。 |
|
証明書の削除 |
警告
削除されたデータは復元できません。操作は慎重に行ってください。 |
証明書アプリケーションリポジトリ API による証明書の管理
証明書アプリケーションリポジトリ API を呼び出すことで、証明書の申請、アップロード、失効、削除、および証明書による署名、検証、暗号化、復号化ができます。詳細については、「証明書アプリケーションリポジトリ API」をご参照ください。
-
証明書アプリケーションリポジトリの署名、検証、暗号化、復号化 API を使用する前に、十分な API 呼び出しクォータがあることをご確認ください。詳細については、「API 呼び出しパッケージの購入」をご参照ください。
-
自己署名証明書のアップロードと相互認証では、追加の API 呼び出し料金は発生しません。