SSL 証明書のデプロイには、HTTPS を有効化するためのサーバー側への証明書デプロイと、クライアント側にルート証明書をインストールしてサーバーを信頼させる 2 つのシナリオがあります。ほとんどのユーザーは前者のみが必要です。
サーバーへの SSL 証明書のデプロイ (HTTPS を有効化するために必須):HTTPS トラフィックの終端(terminate)を行うすべてのネットワークノード — Web サーバー、アプリケーションロードバランサー(ALB)、コンテンツデリバリーネットワーク(CDN)、Web Application Firewall(WAF)、API ゲートウェイ — に証明書をデプロイします。
クライアントへのルート証明書のインストール :認証局(CA)を認識できない、またはルート証明書が欠落しているデバイスにルート証明書をインストールします。ほとんどのオペレーティングシステムおよびブラウザにはルート証明書がプリインストール済みですが、特定のクライアント(例:IoT デバイス、組み込みシステム、社内専用システム、オフラインアプリ、旧式ブラウザ、Java クライアントなど)に対してのみ必要です。
サーバーへの SSL 証明書のデプロイ
前提条件
作業を開始する前に、以下の点を確認してください。
証明書のステータス :証明書が信頼された認証局(CA)から発行済みである必要があります。証明書管理サービスコンソールで、 証明書ステータス が 発行済み になっていることを確認してください。詳細については、「 公式証明書の購入 」および「 認証局への証明書申請 」をご参照ください。
ドメイン名の一致 :証明書が保護対象となるすべてのドメイン名をカバーしている必要があります。カバー対象のドメインを変更する場合は、「 公式証明書の購入 」または「 ドメイン名の追加および置き換え 」をご参照ください。ドメイン一致のルールは以下のとおりです。
マルチレベルのサブドメインをカバーするには、[バウンドドメイン] フィールドに正確なドメイン(例:
a.b.example.com)または一致するワイルドカード(例:*.b.example.com)を含める必要があります。ドメインタイプ カバレッジ 完全一致(例: example.com)当該ドメインのみ 完全一致(例: www.example.com)当該ドメインのみ ワイルドカード(例: *.example.com)1 レベル目のサブドメイン: www.example.com、a.example.comワイルドカード(例: *.example.com)example.comや、a.b.example.comDNS 名前解決 :ドメインの DNS レコードがサーバーのパブリック IP アドレスに解決されている必要があります。
デプロイ先のノードを特定する
HTTPS トラフィックを処理する際は、HTTPS 接続を終端するすべてのノードに SSL 証明書をデプロイします。対象ノードには、Web サーバー(Nginx、Apache、IIS)、アプリケーションロードバランサー(ALB)、コンテンツ配信ネットワーク(CDN)、Web Application Firewall(WAF)、API ゲートウェイが含まれます。
以下のように考えると理解しやすくなります: HTTPS と HTTP の間でトラフィックが切り替わるすべてのホップ(接続ポイント)には証明書が必要です 。エンドツーエンドの暗号化を実現する場合は、オリジンサーバーまで証明書をデプロイしてください。
トラフィックが直接サーバーに到達する場合
ユーザーがパブリック IP アドレスを直接使用してサーバーにアクセスし、中間プロキシがない場合、その Web サーバー上に証明書をデプロイするだけで構いません。
トラフィックが複数のネットワークノードを経由する場合
トラフィックが CDN、WAF、ALB などの中間ノードを経由してオリジンサーバーに到達する場合、HTTPS トラフィックを処理する各ノードに個別の証明書が必要です。
以下の例では、アーキテクチャ ユーザー → CDN → WAF → アプリケーションロードバランサー(ALB) → オリジンサーバー を用いて、マルチノードデプロイメントを説明しています。実際のアーキテクチャに応じて、証明書をデプロイするノードを選択してください。
以下に示す表は、証明書をデプロイするノード数に応じて暗号化範囲がどのように変化するかをまとめています。 最高のセキュリティを確保するには、シナリオ 4 を採用して完全なパスを暗号化してください。
| シナリオ | 暗号化リンク(HTTPS) | プレーンテキストリンク(HTTP) | 証明書が必要なノード | セキュリティレベル |
|---|---|---|---|---|
| シナリオ 1 | ユーザー ↔ CDN | CDN → WAF → ALB → オリジンサーバー | CDN | 最低 — プライベートネットワーク上のトラフィックはプレーンテキストになります |
| シナリオ 2 | ユーザー ↔ WAF | WAF → ALB → オリジンサーバー | CDN、WAF | 低 — WAF はカバーされますが、WAF 以降のトラフィックは依然としてプレーンテキストです |
| シナリオ 3 | ユーザー ↔ ALB | ALB → オリジンサーバー | CDN、WAF、ALB | 高 — オリジンサーバーへの最終ホップのみがプレーンテキストになります |
| シナリオ 4 | ユーザー ↔ オリジンサーバー | なし | CDN、WAF、ALB、オリジンサーバー | 最高 — エンドツーエンドの暗号化 |
デプロイ計画の選択
デプロイ対象がサーバーかクラウドプロダクトかを特定し、それに応じた手順に従ってください。
サーバーへのデプロイ :Alibaba Cloud ECS インスタンス、Simple Application Server インスタンス、Alibaba Cloud 以外のサーバー、および自社管理サーバーが対象です。
クラウドプロダクトへのデプロイ :SLB、CDN、WAF(ECS および Simple Application Server を除く)などの Alibaba Cloud プロダクト、および Tencent Cloud、Huawei Cloud、AWS の CDN、WAF、CLB などのクラウドプロダクトが対象です。
デプロイ中に支援が必要な場合は、アカウントマネージャーまでお問い合わせください。
サーバーへのデプロイ
Alibaba Cloud ECS および Simple Application Server
Web サーバーおよびオペレーティングシステムに応じたチュートリアルを選択してください。Web サーバーの種類を確認する方法については、「 Web サーバーの種類を確認する方法 」をご参照ください。
サーバーのオペレーティングシステム | デプロイチュートリアル |
Linux | |
Windows | |
コンソールからデプロイ
信頼済みの ECS インスタンスにワンクリックで証明書をデプロイしたり、ECS または Simple Application Server インスタンスに既にデプロイ済みの証明書を自動更新したりできます。この方法により、デプロイ効率が向上し、構成ミスのリスクが低減されます。詳細については、「 ECS または Simple Application Server インスタンスへの SSL 証明書のデプロイ 」をご参照ください。
サーバーへのログインを介したデプロイ
サーバーのオペレーティングシステム | デプロイチュートリアル |
Linux | |
Windows | |
コンソールから自動的にデプロイ
信頼済みの ECS または Simple Application Server インスタンスにワンクリックで証明書をプッシュするか、既存の証明書を自動更新できます。詳細については、「 ECS または Simple Application Server インスタンスへの SSL 証明書のデプロイ 」をご参照ください。
サーバーへのログインによるデプロイ
Alibaba Cloud 以外のサーバー
Web サーバーおよびオペレーティングシステムに応じたチュートリアルを選択してください。Web サーバーの種類を確認する方法については、「 Web サーバーの種類を確認する方法 」をご参照ください。
クラウドプロダクトへのデプロイ
Alibaba Cloud
証明書管理サービスコンソールからのデプロイ
証明書管理サービスコンソールでは、サポート対象のクラウドプロダクトへ証明書をワンクリックでプッシュできます。詳細については、「 SLB、CDN、WAF などのクラウドプロダクトへの SSL 証明書のデプロイ 」をご参照ください。
表に記載されていないプロダクトの場合は、各プロダクトの独自コンソールにアクセスして証明書をデプロイしてください。
「既存証明書の更新」とは、プロダクトにすでに証明書がデプロイ済みであり、それを置き換える必要がある状況を指します。
| クラウドプロダクト | デプロイシナリオ | 証明書構成 |
|---|---|---|
| Container Service for Kubernetes (ACK) | 既存証明書の更新 | ACK 管理型および専用クラスター:AlbConfig 証明書構成の更新、Secret 証明書の更新。 重要 Secret へのデプロイ時は、ACK コンソール上で手動で編集しないでください。 |
| Serverless App Engine - ゲートウェイルーティング | 既存証明書の更新 | HTTPS 転送プロトコル(ALB および CLB)を用いたゲートウェイルーティング |
| Function Compute (FC) | 既存証明書の更新 | HTTP トリガー関数 |
| Microservices Engine - クラウドネイティブゲートウェイ | 既存証明書の更新 | クラウドネイティブゲートウェイルーティング |
| API Gateway | 既存証明書の更新 | HTTPS ドメイン名による API アクセス |
| Global Accelerator (GA) | 既存証明書の更新 | セキュアアクセラレーション付き HTTPS ドメイン名 |
| Application Load Balancer (ALB) | 既存証明書の更新 | HTTPS リスナーによる HTTPS プロトコルからのリクエスト転送(サーバー証明書)。 説明 クライアント証明書をデプロイする場合は、「 エンドツーエンドの HTTPS を構成して通信を暗号化 」をご参照ください。 |
| Network Load Balancer (NLB) | 既存証明書の更新 | HTTPS リスナーによる HTTPS プロトコルからのリクエスト転送(サーバー証明書)。 説明 クライアント証明書をデプロイする場合は、「 エンドツーエンドの HTTPS を構成して通信を暗号化 」をご参照ください。 |
| コンテンツデリバリーネットワーク(CDN) | 初期デプロイ、既存証明書の更新 | HTTPS セキュアアクセラレーション |
| ダイナミックコンテンツデリバリーネットワーク(DCDN) | 初期デプロイ、既存証明書の更新 | HTTPS セキュアアクセラレーション |
| Edge Security Acceleration(ESA) | 既存証明書の更新 | HTTPS セキュアアクセラレーション |
| Object Storage Service(OSS) | 既存証明書の更新 | HTTPS による OSS へのアクセス。 説明 CDN 加速ドメイン名がバインドされている場合は、代わりに CDN コンソールで証明書を置き換えてください。 |
| Web Application Firewall(WAF) | 既存証明書の更新 | プロキシモードによるオンボーディング |
| Anti-DDoS Proxy | 既存証明書の更新 | Anti-DDoS Proxy ドメイン名によるアクセス |
| Platform for AI(PAI) | 既存証明書の更新 | Elastic Algorithm Service(EAS)によるオンラインモデルサービス:カスタムドメイン名付き専用ゲートウェイ |
クラウドプロダクトコンソールからのデプロイ
各クラウドプロダクトのコンソールにアクセスし、プロダクトのドキュメントに従ってデプロイを完了してください。
| クラウドプロダクト | 証明書構成 | 参照ドキュメント |
|---|---|---|
| Container Service for Kubernetes(ACK) | ACK 管理型および専用クラスター:AlbConfig 証明書構成の更新、Secret 証明書の更新。 重要 Secret へのデプロイ時は、ACK コンソール上で手動で編集しないでください。 | Nginx Ingress 、 ALB Ingress - HTTPS 証明書の設定 、 MSE Ingress - HTTPS 証明書の設定 |
| Serverless App Engine - ゲートウェイルーティング | HTTPS 転送プロトコル(ALB および CLB)を用いたゲートウェイルーティング | アプリケーションのゲートウェイルーティングの設定(ALB) 、 アプリケーションのゲートウェイルーティングの設定(CLB) |
| Function Compute(FC) | HTTP 関数 | カスタムドメイン名の設定 |
| Microservices Engine - クラウドネイティブゲートウェイ | クラウドネイティブゲートウェイルーティング | ドメイン名の作成 |
| API Gateway | ドメイン名を使用した HTTPS による API アクセス | ドメイン名を使用した HTTPS による API アクセス |
| Global Accelerator(GA) | セキュアアクセラレーション付き HTTPS ドメイン名 | HTTPS セキュアアクセラレーションを使用した HTTP ウェブサイトへのアクセス 、 単一の Global Accelerator インスタンスを使用した複数の HTTPS ドメイン名へのアクセス加速 |
| Application Load Balancer(ALB) | HTTPS リスナーによる HTTPS プロトコルからのリクエスト転送(サーバー証明書)。 説明 クライアント証明書をデプロイする場合は、「 エンドツーエンドの HTTPS を構成して通信を暗号化 」をご参照ください。 | HTTPS リスナーの追加 |
| Network Load Balancer(NLB) | HTTPS リスナーによる HTTPS プロトコルからのリクエスト転送(サーバー証明書)。 説明 クライアント証明書をデプロイする場合は、「 エンドツーエンドの HTTPS を構成して通信を暗号化 」をご参照ください。 | TCP/SSL リスナーの追加 |
| コンテンツデリバリーネットワーク(CDN) | HTTPS セキュアアクセラレーション | HTTPS 証明書の設定 |
| ダイナミックコンテンツデリバリーネットワーク(DCDN) | HTTPS セキュアアクセラレーション | HTTPS 証明書の設定 |
| Edge Security Acceleration(ESA) | HTTPS セキュアアクセラレーション | エッジ証明書の設定 |
| Object Storage Service(OSS) | HTTPS による OSS へのアクセス。 説明 CDN 加速ドメイン名がバインドされている場合は、代わりに CDN コンソールで証明書を置き換えてください。 | HTTPS アクセスの有効化 |
| Web Application Firewall(WAF) | CNAME アクセスシナリオ | WAF 3.0: ドメイン名の追加および HTTPS 証明書の設定 、WAF 2.0: ドメイン名の追加および HTTPS 証明書の設定 |
| Anti-DDoS Pro and Anti-DDoS Premium | ウェブサイト設定 | HTTPS サーバー証明書の置き換え |
| Platform for AI (PAI) | Elastic Algorithm Service (EAS):専用ゲートウェイ付きのカスタムドメイン名 | 専用ゲートウェイにカスタムドメイン名を使用 |
Tencent Cloud、Huawei Cloud、および AWS
証明書管理サービスコンソールからのデプロイ
証明書管理サービスコンソールを使用して、サードパーティのクラウドプラットフォームに証明書をプッシュできます。詳細については、「 サードパーティのクラウドプラットフォームへの証明書のデプロイ 」をご参照ください。サポートされているプラットフォームとサービスは次のとおりです。
Tencent Cloud :コンテンツデリバリーネットワーク (CDN)、Web Application Firewall (WAF)、およびクラシックロードバランサー (CLB)
AWS :Amazon CloudFront (CDN) およびロードバランサー (ALB、NLB、および CLB)
Huawei Cloud :コンテンツデリバリーネットワーク (CDN) および Elastic Load Balancing (ELB)
クラウドベンダーのコンソールからのデプロイ
証明書をデプロイするには、ご利用のクラウドベンダーの公式ドキュメントをご参照ください。
クライアントへのルート証明書のインストール
ほとんどのオペレーティングシステムとブラウザには、ルート証明書がプリインストールされています。ルート証明書を手動でインストールする必要があるのは、IoT デバイス、組み込みシステム、社内システム、オフラインアプリ、古いブラウザ、Java クライアントなど、ルート証明書が欠落しているクライアントのみです。
サーバーに SSL 証明書をデプロイした後、これらのクライアントのいずれかがまだ証明書を信頼できない場合は、そのクライアントにルート証明書をダウンロードしてインストールしてください。詳細については、「 ルート証明書のダウンロードとインストール 」をご参照ください。
よくある質問
ルート証明書をダウンロードするにはどうすればよいですか?
ご利用の証明書ブランドのルート証明書をダウンロードするには、「 ルート証明書のダウンロードとインストール 」をご参照ください。
証明書チェーンが不完全な場合や、中間証明書が欠落している場合はどうすればよいですか?
欠落している証明書をダウンロードしてインストールし、再度ウェブサイトにアクセスしてみてください。手順については、「 不完全な SSL 証明書チェーンの解決 」をご参照ください。
デプロイ中に「証明書チェーンに 1 つ以上の中間証明書がありません」と表示されるのはなぜですか?
このエラーは、通常、特定のサーバーシステム(例:Windows Server 2008 R2 上のインターネットインフォメーションサービス (IIS))で発生します。サーバーに欠落しているルート証明書または中間証明書をインストールして解決してください。
Web サーバーの種類を確認するにはどうすればよいですか?
ブラウザの開発者ツールを使用する
ブラウザでドメイン名を開きます。
F12 キーを押して開発者ツールを開き、次の図に示すようにサーバーの種類を確認します。

コマンドの実行
サーバーにログインします。
次のコマンドを実行します。
<your-domain>を実際のドメイン名に置き換えてください(例:curl -i www.aliyundoc.com)。curl -i <your-domain>
サーバーの種類がコマンド出力に表示されます。

Web 開発者に問い合わせる
どちらの方法でも解決しない場合は、Web 開発者またはアカウントマネージャーにお問い合わせください。