すべてのプロダクト
Search

このプロダクト

    Certificate Management Service:SSL 証明書とは

    ドキュメントセンター

    Certificate Management Service:SSL 証明書とは

    最終更新日:Dec 26, 2025

    SSL 証明書は、現在では一般的に TLS 証明書として知られており、ウェブサイトの ID を検証し、ブラウザとサーバー間の通信を暗号化するために使用されるデジタル証明書です。証明書は信頼できる認証局 (CA) によって発行され、データ伝送のセキュリティと完全性を保証する HTTPS プロトコルの実装に不可欠です。このトピックでは、SSL 証明書の中核的価値、仕組み、および利用手順について説明します。

    中核的価値

    SSL/TLS 証明書をデプロイすることは、現代のウェブサイトにとって必要なセキュリティ対策です。主に以下の問題に対処します。

    • データ暗号化:ブラウザなどのクライアントと Web サーバー間で送信されるデータを暗号化し、機密データが傍受または改ざんされるのを防ぎます。

    • ID 検証:サーバーの正当性を検証し、ユーザーが偽のウェブサイトやフィッシングサイトにアクセスするのを防ぎます。

    • ブラウザの信頼性向上:ブラウザの「保護されていない通信」という警告をなくし、アドレスバーにセキュリティロックアイコンを表示します。

    • コンプライアンスの保証:MLPS 2.0 や PCI DSS などのネットワークセキュリティおよびデータ保護規制の要件を満たします。

    • 検索エンジン最適化 (SEO):主要な検索エンジンは HTTPS ウェブサイトのインデックス作成を優先するため、検索順位の向上に役立ちます。

    仕組み

    SSL/TLS プロトコルは、ハイブリッド暗号化メカニズムを使用します。ID 検証には非対称暗号化を、データ伝送には対称暗号化を使用します。

    証明書の発行と検証 (信頼チェーンの構築)

    1. リクエストの生成:サーバーはキーペア (2048 ビット RSA または 256 ビット ECC) を生成し、公開鍵と組織情報を証明書署名リクエスト (CSR) にパッケージ化します。

    2. CA による署名:CA はドメインの所有権を検証した後、CSR から公開鍵と申請者情報を抽出します。次に、CA は発行者情報、有効期間、拡張フィールドを含む証明書コンテンツを作成します。CA は自身の秘密鍵を使用してコンテンツにデジタル署名し、X.509 標準証明書を生成します。

    3. 信頼の伝播:ブラウザは、プリインストール済みのルート証明書を使用してサーバー証明書の署名を段階的に検証し、信頼チェーンを確立します。

    暗号化セッションの確立 (TLS ハンドシェイク)

    1. ハンドシェイクの開始:クライアントは、サポートされているプロトコルバージョンと暗号スイートのリストを含む ClientHello メッセージを送信します。

    2. 証明書の送信:サーバーは ServerHello メッセージで応答し、証明書チェーンを送信します。

    3. ID の検証:クライアントは証明書の有効期間とドメイン名が一致することを確認します。また、証明書失効リスト (CRL) または Online Certificate Status Protocol (OCSP) を使用して、証明書が失効していないことを確認します。一部のデプロイメントでは、このプロセスを最適化するために OCSP Stapling 機能を使用します。

    4. キー交換:両者はキー交換メカニズムを通じてセッションキーを生成します。

      • ECDHE モード (推奨):両者は一時的なキーペアを生成し、公開鍵を交換して、同じセッションキーを個別に計算します。

      • RSA モード (レガシー):クライアントはプリマスターキーを生成し、サーバーの公開鍵で暗号化して送信します。サーバーがキーを復号した後、両者はセッションキーを導出します。

    5. 対称通信:ハンドシェイクが完了すると、すべてのデータはセッションキーを使用して対称暗号化で送信されます。

    説明

    RSA、ECC、または SM2 アルゴリズムに基づく証明書内の公開鍵は、サーバーの ID を検証し、キー交換のためのセキュアチャネルを確立するために使用されます。実際のデータは、パフォーマンスを確保するために、AES などのネゴシエートされた対称キーで暗号化されます。詳細については、「公開鍵と秘密鍵とは」をご参照ください。

    操作手順

    image

    証明書の購入

    1. ニーズに基づいて証明書の種類を選択します。詳細については、「SSL 証明書の選択ガイド」をご参照ください。

    2. 購入情報を入力します。詳細については、「公式証明書の購入」をご参照ください。

    証明書の作成

    購入時にクォータにドメイン名を関連付けなかった場合、関連付けを完了するために証明書を作成する必要があります。このプロセス中に、迅速な問題 オプションが利用可能です。

    • 迅速な問題 を選択:申請情報を提供する必要があります。その後、システムは自動的に CA に証明書申請を提出します。あとは ドメイン名の所有権検証を完了するだけです。

    • 迅速な問題 を選択しない場合、証明書が作成された後、証明書サービスコンソールにログインして手動で申請情報を入力し、提出する必要があります。詳細については、「CA への申請の提出」をご参照ください。

    説明

    証明書リストには、ドメイン名にバインドされている証明書のみが表示されます。バインドされていない証明書は、証明書の作成 操作を完了した後に表示されます。

    証明書の申請

    1. 認証局 (CA) への申請提出

      証明書の種類に基づいて必要な情報を入力します。この情報には、バインドするドメイン名または IP アドレス、連絡先詳細、会社情報、および営業許可証などが含まれる場合があります。その後、証明書申請を CA に提出します。詳細については、「証明書の申請」をご参照ください。

    2. ドメイン名の所有権検証

      CA に申請を提出する際、ドメイン名の所有権を検証する必要があります。詳細については、「ドメイン名の所有権検証」をご参照ください。

      • DV (ドメイン検証) 証明書は、自動dns検証手動dns検証ファイル検証 の 3 つの検証方法をサポートしています。

      • EV または OV 証明書の場合、CA から送信されるドメイン名検証メールの内容に基づいて検証を完了する必要があります。

    3. CA 審査

      申請を提出し、ドメイン名の所有権検証を完了した後、CA が申請を審査するのを待つ必要があります。審査の進捗と結果を確認するには、「CA 審査結果の処理」をご参照ください。ドメイン検証 (DV) 証明書の平均発行時間は 1〜15 分です。組織検証 (OV) または拡張検証 (EV) 証明書の平均発行時間は 5 暦日です。

    証明書のデプロイ

    CA が申請を承認し、証明書のステータスが「発行済み」に変わったら、証明書ファイルを Nginx、Apache、IIS などの Web サーバーまたはクラウドサービスにデプロイできます。これにより、サイトの HTTPS 機能が有効になります。詳細については、「SSL 証明書のデプロイ」をご参照ください。

    重要

    ご利用のサーバーが中国本土にある場合、ICP 登録を申請する必要があります。そうしないと、ウェブサイトにアクセスできなくなります。

    • Alibaba Cloud サーバーをご利用の場合は、Alibaba Cloud ICP 登録システムにアクセスし、ウェブサイトの ICP 登録を完了してください。詳細については、「ICP 登録プロセス」をご参照ください。

    • Alibaba Cloud サーバーを使用していない場合は、ご利用のサーバープロバイダーの ICP 登録システムまたは MIIT ICP 登録ウェブサイトにアクセスして登録を完了してください。

    次のステップ

    証明書の更新

    SSL 証明書が有効期限切れになった後は、速やかに更新するか、新しい証明書を申請する必要があります。また、ウェブサイトの暗号化接続とセキュリティを維持するために、新しい SSL 証明書をインストールする必要があります。詳細については、「SSL 証明書の更新と有効期限」をご参照ください。

    証明書の失効

    証明書を使用しなくなった場合は、失効させることができます。詳細については、「SSL 証明書の失効と削除」をご参照ください。

    警告

    失効操作は元に戻せません失効した証明書は CA の信頼リストから削除されます。ブラウザやクライアントは検証時にそれを無効と識別し、訪問者にセキュリティ警告を表示します

    よくある質問

    購入後に証明書が見つからない場合はどうすればよいですか?

    購入時にドメイン名情報を入力しなかった場合、証明書リストに表示される証明書ではなく、証明書作成用のクォータが付与されます。証明書をリストに表示させるには、SSL 証明書を作成し、ドメイン名をバインドする必要があります。

    SSL 証明書は中国語ドメイン名をサポートしていますか?

    はい、サポートしています。中国語ドメイン名をバインドする場合、証明書を申請する前に、コンソールのプロンプトに従ってピュニコードに変換する必要があります。トランスコーディングツールを使用して変換することもできます。詳細については、「中国語ドメイン名の変換」をご参照ください。

    DNS プロバイダーが Alibaba Cloud でない場合でも、Alibaba Cloud SSL 証明書を申請できますか?

    はい、できます。ドメインの所有権検証を完了するだけで申請できます。これは DNS プロバイダーとは無関係です。

    ソリューション

    方法

    メリット

    現在のプロバイダーでレコードを設定

    現在のドメイン名プラットフォームにログインし、Alibaba Cloud からの SSL 証明書検証レコード (TXT) を追加します。

    説明

    サポートが必要な場合は、プロバイダーのサポートにお問い合わせください。

    迅速かつ直接的です。ドメイン名の移管は不要です。

    ドメインを Alibaba Cloud に移管

    ドメイン名を Alibaba Cloud に移管する手順に従います。完了後、Alibaba Cloud DNS コンソールですべての DNS レコードを管理できます。

    重要

    ドメインを移管するには、1 年間の更新料金を支払う必要があります。

    将来の証明書更新やドメイン名の一元管理に便利です。