SSL Certificates Service V2.0
このガイドでは、証明書の購入、申請、デプロイ、証明書ホスティングサービスの使用方法など、SSL Certificates Service V2.0 の完全なワークフローについて説明します。
概要
SSL Certificates Service V2.0 はサブスクリプションモデルを採用しています。購入後、システムは自動的に証明書インスタンスを作成します。実際の証明書を取得するには、証明書の申請プロセスを完了させる必要があります。完全なワークフローには、次のステップが含まれます:
証明書の購入:証明書タイプとサブスクリプション期間を選択します。
証明書の申請:ドメイン情報を提供し、ドメイン名の検証を完了します。
発行の待機:認証局 (CA) が申請を審査し、証明書を発行します。
証明書のデプロイ:Web サーバーまたはクラウド製品に証明書をインストールします。
自動ホスティングの有効化:(オプション) 自動ホスティングを有効にすると、証明書の更新とデプロイが自動化されます。
CA によって発行された証明書の有効期間がサブスクリプション期間より短い場合、証明書インスタンスごとに申請とデプロイのプロセスを複数回繰り返す必要がある場合があります。正確な有効期間は、発行時の CA のポリシーによって異なります。SSL 証明書の基本概念と仕組みの詳細については、「SSL 証明書とは」をご参照ください。
ステップ 1:証明書の購入
証明書タイプの選択
ビジネスニーズに合った証明書タイプを選択してください。証明書タイプによって、検証方法、ユースケース、価格が異なります。
タイプ | 検証方法 | ユースケース | 説明 |
DV (ドメイン認証) | ドメイン所有権の検証 | 個人ウェブサイト、小規模ビジネス | ドメインの所有権のみを検証します。低コストで迅速な発行 (1~15 分) が可能です。 |
OV (組織認証) | 組織の実在性検証 + ドメイン名の検証 | 企業ウェブサイト、E コマースプラットフォーム | 組織の信頼性を検証します。証明書には組織情報が表示されます。発行には約 5 暦日かかります。 |
EV (拡張認証) | 厳格な組織の実在性検証 + ドメイン名の検証 | 金融機関、大企業 | 最高レベルの検証で、最大限の信頼性を提供します。発行には約 5 暦日かかります。 |
証明書ブランドとドメインタイプ (シングルドメイン、マルチドメイン、ワイルドカードドメイン) の選択に関する詳細なガイドについては、「SSL 証明書選択ガイド」をご参照ください。
購入パラメーターの設定
Certificate Manager サービスコンソールにログインし、次の手順に従って証明書を購入します:
ナビゲーションウィンドウで、 を選択し、SSL 証明書管理 V2.0 ページに移動します。
公式証明書 タブで、購入証明書 をクリックします。
ドメインタイプ を選択します:
単一ドメイン名:1 つの完全修飾ドメイン名 (例:
www.example.com) を保護します。ワイルドカードドメイン:1 つのワイルドカードドメインとそのサブドメイン (例:
*.example.com) を保護します。複数のドメイン名: 複数の 単一ドメイン名 と ワイルドカードドメイン を保護します。
証明書タイプ (DV、OV、または EV)、証明書ブランド (DigiCert、GeoTrust、GlobalSign など)、および サブスクリプション期間 を選択します。
設定と価格を確認し、支払いを完了します。
購入が成功すると、システムは証明書インスタンスを作成します。このインスタンスは証明書リストで確認できます。詳細については、「公式証明書の購入」をご参照ください。
ステップ 2:証明書の申請
証明書インスタンスを購入した後、デプロイ可能な証明書を取得するには、申請を送信し、ドメイン名の検証を完了する必要があります。
申請フォームの入力
証明書リストで証明書インスタンスを見つけ、操作 列の 証明書の申請 をクリックします。
証明書バインディングドメイン名 を入力します。各 ドメインタイプ のドメイン数は、購入した数量を超えてはなりません。
証明書申請のステータスに関する通知を受け取るために、連絡先 情報を入力します。
(OV/EV 証明書のみ) 組織名や統一社会信用コードなどの組織情報を入力します。CA はこの情報を検証します。
[ドメイン検証方法] を選択します:
自動dns検証:システムは Alibaba Cloud DNS に TXT レコードを自動的に追加します。これは Alibaba Cloud ドメインでのみ利用可能です。
手動dns検証:ドメインの DNS 解決設定に手動で TXT レコードを追加します。
ファイル検証:指定されたファイルを Web サーバーにアップロードしてドメインの所有権を検証します。
(オプション) 自動ホスティング を有効にします。有効にすると、現在の証明書が期限切れになる前に、システムが自動的に次の証明書を申請します。
情報が正しいことを確認し、[申請の送信] をクリックします。
詳細については、「CA への申請の送信」をご参照ください。
ドメイン名の検証の完了
申請を送信した後、選択した方法を使用してドメイン名の所有権を検証する必要があります:
手動 DNS 検証:ドメインの DNS 管理コンソールにログインし、TXT レコードを追加します。レコードの値を CA から提供された検証文字列に設定します。レコードを追加した後、証明書リストに戻り、認証 をクリックして設定を確認します。
自動 DNS 検証:Alibaba Cloud DNS を使用している場合、システムは必要な TXT レコードを自動的に追加します。手動での操作は不要です。
メール検証 (OV/EV 証明書):CA は組織に登録されているメールアドレスに検証メールを送信します。メールの指示に従って返信するか、検証リンクをクリックして検証を完了します。
詳細については、「ドメイン所有権の検証」をご参照ください。
証明書発行の遅延を避けるため、申請を送信した後はできるだけ早くドメイン名の検証を完了してください。
ステップ 3:証明書発行の待機
ドメイン名の検証が完了すると、CA は申請情報を審査し、証明書を発行します。詳細については、「CA 審査結果の処理」をご参照ください。
発行時間
タイプ | 推定発行時間 |
DV (ドメイン認証) 証明書 | 1~15 分 (自動審査) |
OV (組織認証) / EV (拡張認証) 証明書 | 約 5 暦日 (手動審査) |
発行ステータスの確認
証明書リストの この証明書のステータス で確認できます:
保留中の申請:申請フォームを入力して送信する必要があります。
レビュー中:申請は送信され、CA の審査待ちです。
発行済み:証明書は発行され、ダウンロードとデプロイの準備ができています。
監査失敗した:審査は失敗しました。失敗理由に基づいて申請を再送信する必要があります。
ステップ 4:証明書のデプロイ
証明書が発行されたら、Web サーバーまたはクラウド製品にデプロイして、ウェブサイトで HTTPS を有効にします。デプロイオプションを確認するには、「SSL 証明書のデプロイソリューション」をご参照ください。
デプロイ方法
SSL 証明書は 2 つのデプロイ方法をサポートしています:
コンソールによる自動デプロイ:この方法は、Server Load Balancer (SLB)、CDN、Web Application Firewall (WAF)、ECS などの Alibaba Cloud 製品で利用できます。コンソールからワンクリックで証明書をデプロイできます。
手動ダウンロードとデプロイ:この方法は、Nginx、Apache、IIS、Tomcat などの自己管理サーバー向けです。証明書ファイルを手動でダウンロードして設定する必要があります。
コンソールによる自動デプロイ (クラウド製品)
証明書リストで発行済みの証明書を見つけ、操作 列の デプロイメント をクリックします。
証明書をデプロイしたいクラウド製品のタイプ (Server Load Balancer (SLB) や Web Application Firewall (WAF) など) を選択します。対応するクラウド製品を事前に有効化し、設定しておく必要があります。
デプロイ設定を確認して、デプロイを完了します。
デプロイが成功すると、証明書は選択したクラウド製品に自動的に同期されます。その製品のコンソールで確認できます。
手動デプロイ (自己管理サーバー)
証明書リストで発行済みの証明書を見つけ、操作 列の ダウンロード をクリックします。
対応する Web サーバータイプ (Nginx、Apache、IIS、Tomcat など) を選択し、圧縮された証明書ファイルパッケージをダウンロードします。
ダウンロードしたパッケージを解凍して、証明書ファイルと秘密鍵ファイルを取得します。
Web サーバーにログインし、証明書ファイルと秘密鍵ファイルを指定のディレクトリにアップロードします。
Web サーバーのタイプに応じて設定ファイルを変更し、HTTPS 設定を追加します。
変更を有効にするために Web サーバーを再起動します。
ステップ 5:証明書ホスティングの設定 (オプション)
CA/Browser Forum のポリシーにより、SSL/TLS 証明書の最大有効期間は継続的に短縮されています。証明書の有効期限切れによるビジネスの中断を防ぐため、自動ホスティングサービスを有効にすることを推奨します。
証明書の申請時または発行後に有効にすることができます:
申請時に有効化:証明書の申請時に自動ホスティングを有効にします。この機能は後で証明書リストから無効にすることができます。
発行後に有効化/無効化:証明書リストで対象の証明書を見つけ、自動ホスティングを有効化する をクリックします。
詳細については、「証明書ホスティングサービスとは」をご参照ください。
トラブルシューティングとよくある質問
問題 | 説明 | ソリューション |
証明書申請の審査が失敗した。 | ドメイン名の検証が失敗したか、組織情報が不完全です。 | ドメイン検証レコードが正しいことを確認し、不足している組織情報を提供して、申請を再送信してください。 |
証明書のデプロイが失敗した。 | クラウド製品インスタンスが異常な状態であるか、ドメインが ICP 登録を完了していません。 | クラウド製品インスタンスが正常に実行されているかを確認し、ドメインが ICP 登録を完了していることを確認してください。 |
自動ホスティングが失敗した。 | ホスティングクレジットが不足しているか、アカウント残高が不足しています。 | アカウントに資金を追加するか、手動でホスティングクレジットを購入してください。 |
ダウンロードした証明書が使用できない。 | 証明書ファイルが不完全であるか、サーバー設定が正しくありません。 | ダウンロードしたパッケージに証明書チェーンと秘密鍵が含まれていることを確認してください。サーバーの設定ファイルに構文エラーがないか確認してください。 |
ブラウザに「証明書が信頼されていません」というエラーが表示される。 | 証明書が正しくインストールされていないか、中間証明書が欠落しています。 | 証明書を再インストールし、中間証明書を必ず含めてください。 |
その他のよくある質問については、次のトピックをご参照ください: