プライベート認証局 (CA) は、組織内部のニーズ に合わせてデジタル証明書を発行および管理するために使用されます。これらは、内部ネットワークを保護し、VPN や内部 Web アプリケーションなどのプライベートリソースに対して証明書ベースの認証を有効にするために不可欠です。このトピックでは、Private CA サービスを購入し、有効化する方法について説明します。
プライベート CA では、CA 階層を設定し、発行者の ID と組織情報をカスタマイズできます。これにより、企業の組織構造に合わせて多階層の中間 CA を作成できます。
ステップ 1:プライベートルート CA の購入
初めてプライベート CA を作成するには、プライベートルート CA を購入する必要があります。購入すると、ルート CA 1 つと下位 CA 1 つが提供されます。ルート CA には、デフォルトで 10 個のプライベート証明書のクォータが含まれています。これらを有効化された下位 CA に割り当てて、プライベート証明書を発行できます。
Certificate Management Service コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。[PCA 証明書管理] ページで、PCA サービスが配置されているリージョンを選択します。
プライベートca タブで、プライベートルートcaの購入 をクリックします。
購入ページで、証明書のアルゴリズムと期間を選択し、[今すぐ購入] をクリックして支払いを完了します。
[アルゴリズム]:証明書の発行に使用される暗号化アルゴリズムです。オプション:[RSA]、[中国暗号アルゴリズム (SM)]、[ECC]。
[サブスクリプション期間]:Private CA サービスの利用期間を選択します。この期間内に証明書を発行できます。
重要サービスの有効期限が切れると、証明書クォータが残っていても証明書を発行できなくなります。
CA によって発行された証明書の有効期間は、Private CA サービスの購入期間を超えることはできません。たとえば、Private CA サービスを 1 か月間購入した場合、発行される証明書の有効期間は 30 日を超えることはできません。
ステップ 2:プライベートルート CA と下位 CA の有効化
購入後、プライベートルート CA を有効化してから、下位 CA を有効化する必要があります。
ルート CA の有効化
プライベートca タブで、対象のルート CA を見つけます。操作 列で、有効にする をクリックします。
Ca情報 パネルで、ルート CA の情報を設定し、確認して有効にする をクリックします。
Certificate Management Service では、ルート CA を有効化するための複数の方法がサポートされています。必要に応じて方法を選択してください:
CA 証明書の作成
パラメーター
説明
有効化モード
CA 証明書の作成 を選択します。
共通名 (cn)
組織の一般名または略称です。中国語と英語がサポートされています。
例:Alibaba Cloud
組織部門 (ou)
組織単位名です。中国語と英語がサポートされています。
例:IT 部門
組織 (o)
組織名です。中国語と英語がサポートされています。
例:Alibaba Cloud
都市名 (l)
組織の市区町村です。中国語と英語がサポートされています。
例:杭州
州の名前
組織の都道府県です。中国語と英語がサポートされています。
例:浙江
国 (c)
組織の国または地域です。中国語と英語がサポートされています。
秘密鍵アルゴリズム
CA で使用される秘密鍵の暗号化アルゴリズムです。
利用可能な秘密鍵アルゴリズムは、購入時に選択した証明書アルゴリズムによって異なります:
アルゴリズムが [RSA] の場合、オプションには [RSA_1024]、[RSA_2048]、[RSA_4096] が含まれます。
アルゴリズムが中国暗号アルゴリズム (SM) の場合、オプションには [SM2_256] が含まれます。
アルゴリズムが [ECC] の場合、オプションには [ECC_256]、[ECC_384]、[ECC_512] が含まれます。
有効期間
ルート CA の有効期間です。
有効期間は、購入したルート CA サービスの期間によって異なります:
期間が 1 年未満の場合、サポートされる有効期間は 1 年から 20 年です。
期間が 1 年以上の場合、サポートされる有効期間は 1 年から 100 年です。
説明証明書は、Private CA サービスがアクティブな間のみ発行できます。サービスの有効期限が切れると、新しい証明書を発行できなくなり、未使用のプライベート証明書リソースも利用できなくなります。
CRL サービスを有効にするかどうか
証明書失効リスト (CRL) サービスを有効にするかどうかを指定します。有効にすると、CRL を通じて失効した CA 証明書を表示できます。詳細については、「CRL サービス」をご参照ください。
CA 証明書と暗号化キーのアップロード
パラメーター
説明
有効化モード
CA 証明書と暗号化キーのアップロード を選択します。
証明書ファイル
PEM 形式の証明書ファイルの内容を入力します。
テキストエディターで PEM または CRT 形式の証明書ファイルを開き、内容をコピーしてこのフィールドに貼り付けます。または、フィールドの下にある アップロードされたファイルの解析 をクリックし、ローカルコンピューターから証明書ファイルを選択してその内容をアップロードします。
証明書秘密鍵
PEM 形式の証明書の秘密鍵の内容を入力します。
テキストエディターで KEY 形式の証明書の秘密鍵ファイルを開き、内容をコピーしてこのフィールドに貼り付けます。または、フィールドの下にある アップロードされたファイルの解析 をクリックし、ローカルコンピューターから秘密鍵ファイルを選択してその内容をアップロードします。
ヒント ダイアログボックスで情報を確認し、OK をクリックします。
ルート CA の有効化に成功すると、そのステータスは [有効] に変わります。CA 情報に誤りがある場合、CA をリセットして修正できます。詳細については、「プライベート CA のリセット」をご参照ください。
下位 CA の有効化
プライベートca タブで、対象のルート CA を見つけ、その名前の横にある
アイコンをクリックします。対象の下位 CA を見つけます。操作 列で、有効にする をクリックします。
Ca情報 パネルで、下位 CA の情報を設定し、確認して有効にする をクリックします。
Certificate Management Service では、下位 CA を有効化するための複数の方法がサポートされています。必要に応じて方法を選択してください:
CA 証明書の作成
パラメーター
説明
有効化モード
CA 証明書の作成 を選択します。
中間 CA の用途
下位 CA の目的に基づいて、中間 CA または ユーザー CA を選択します。
中間 CA:下位 CA の発行に使用できます。
ユーザー CA:サーバー証明書やクライアント証明書などのユーザー証明書の発行にのみ使用できます。
長さの制限
中間 CA の用途 が 中間 CA に設定されている場合、パス長の制約を設定する必要があります。これは、この中間 CA が発行できる下位 CA の最大深度を示します。
有効値は 1 から 5 です。
重要長さの制限 が 1 の場合、下位 CA はユーザー CA である必要があります。
共通名 (cn)
組織の一般名または略称です。中国語と英語がサポートされています。
例:Alibaba Cloud
組織部門 (ou)
組織単位名です。中国語と英語がサポートされています。
例:IT 部門
組織 (o)
組織名です。中国語と英語がサポートされています。
例:Alibaba Cloud
都市名 (l)
組織の市区町村です。中国語と英語がサポートされています。
例:杭州
州の名前
組織の都道府県です。中国語と英語がサポートされています。
例:浙江
国 (c)
組織の国または地域です。中国語と英語がサポートされています。
例:中国
秘密鍵アルゴリズム
CA で使用される秘密鍵の暗号化アルゴリズムです。
利用可能な秘密鍵アルゴリズムは、購入時に選択した証明書アルゴリズムによって異なります:
アルゴリズムが [RSA] の場合、オプションには [RSA_1024]、[RSA_2048]、[RSA_4096] が含まれます。
アルゴリズムが [中国暗号アルゴリズム (SM)] の場合、オプションには [SM2_256] が含まれます。
アルゴリズムが [ECC] の場合、オプションには [ECC_256]、[ECC_384]、[ECC_512] が含まれます。
有効期間
下位 CA の有効期間です。
有効期間は、購入したプライベート下位 CA の期間によって異なります:
購入期間が 1 年未満の場合、下位 CA の有効期間は 1 年から 20 年です。
購入期間が 1 年以上の場合、下位 CA の有効期間は 1 年から 100 年です。
CRL サービスを有効にするかどうか
CRL サービスを有効にするかどうかを指定します。有効にすると、CRL を通じて失効した CA 証明書を表示できます。詳細については、「CRL サービス」をご参照ください。
拡張キーの使用方法
証明書の目的を識別するために、拡張キー使用法 (EKU) 拡張を選択します。
CA 証明書と暗号化キーのアップロード
パラメーター
説明
有効化モード
CA 証明書と暗号化キーのアップロード を選択します。
証明書ファイル
PEM 形式の証明書ファイルの内容を入力します。
テキストエディターで PEM または CRT 形式の証明書ファイルを開き、内容をコピーしてこのフィールドに貼り付けます。または、フィールドの下にある アップロードされたファイルの解析 をクリックし、ローカルコンピューターから証明書ファイルを選択してその内容をアップロードします。
証明書秘密鍵
PEM 形式の証明書の秘密鍵の内容を入力します。
テキストエディターで KEY 形式の証明書の秘密鍵ファイルを開き、内容をコピーしてこのフィールドに貼り付けます。または、フィールドの下にある アップロードされたファイルの解析 をクリックし、ローカルコンピューターから秘密鍵ファイルを選択してその内容をアップロードします。
ヒント ダイアログボックスで情報を確認し、OK をクリックします。
下位 CA の有効化に成功すると、そのステータスは [有効] に変わります。CA 情報に誤りがある場合、CA をリセットして修正できます。詳細については、「プライベート CA のリセット」をご参照ください。
ステップ 3:(オプション) プライベート下位 CA の購入
既存のルート CA の下に複数の下位 CA を作成して、組織構造 (例:部門ごとに個別の下位 CA を作成) に合わせることができます。購入した下位 CA には、デフォルトでは証明書クォータは含まれていません。
プライベートca タブで、対象のルート CA を見つけます。操作 列で、プライベートサブ CA の作成 をクリックします。
[証明書マネージャーサービス] パネルで、購入設定を構成します。
重要下位 CA で使用されるアルゴリズムは、ルート CA と一致している必要があり、変更することはできません。
[今すぐ購入] をクリックし、[利用規約] を読んで確認します。画面の指示に従って支払いを完了します。
ステップ 4:プライベート証明書の設定
プライベート CA を購入して有効化した後、プライベート証明書を設定します。詳細については、「プライベート証明書の管理」をご参照ください。