Certificate Management Service:ドメイン所有権検証に関する FAQ

Alibaba Cloud は、DNS レコードが有効かどうかを確認するのに役立つ [ネットワークプローブツール] を提供しています。このツールを使用するには、次の手順を実行します。

一般的な原因と解決策は次のとおりです。

1. DNS レコードが追加されていません。

   詳細については、「手動 DNS 認証」をご参照ください。 TXT レコードを DNS プロバイダーに手動で追加して、ドメインの所有権を検証できます。

2. コンソールの検証に遅延があります。

   DNS レコードを正しく追加したにもかかわらず、「[DNS レコード値が検出されませんでした]」というメッセージが表示される場合は、コンソールの検証に遅延が生じている可能性があります。しばらく待ってから再試行してください。

3. SSL 証明書にバインドされたドメイン名が DNS レコードのドメイン名と一致しません。

   説明

   Alibaba Cloud DNS を使用していない場合は、DNS プロバイダーのコンソールに移動してドメイン名を確認できます。

   1. ドメイン名が一致することを確認します。

   2. SSL 証明書の検証ページで、[変更] をクリックし、証明書にバインドするドメイン名を再入力して、再度審査に提出します。

一般的な原因と解決策は次のとおりです。

1. DNS レコード値が正しく設定されていません。

   証明書リクエストからホストレコードとレコード値をコピーし、DNS レコード設定に再度貼り付けます。

   

2. 名前解決に DNSPod または別の DNS プロバイダーを使用しています。

   現時点では、コンソールのエラーメッセージは無視してかまいません。DNSPod またはお使いのプロバイダーで要件に従って DNS レコードを設定した後、CA が検証を完了するまで待ちます。

3. DigiCert DV 証明書の場合、DNS レコード値が 24 時間以上経過しています。

   1. 24 時間以上経過した TXT レコード値を削除できます。

   2. Digital Certificate Management Service コンソールにログインし、対象の証明書を再申請して、最新の TXT DNS レコード値を取得できます。

   3. DNS プロバイダーのプラットフォームに移動し、新しい TXT レコード値を追加できます。

   説明

   GeoTrust DV 証明書のタイムスタンプは常に有効です。

4. レコード値が中国国外の DNS サーバーに同期されていません。

   動的 DNS レコードの同期遅延により、中国国外の権威 DNS サーバーが最新の TXT レコード値を取得できない場合があります。動的解決サービスが正しく実行されているか確認し、同期が完了するまで待つことができます。

DNS サーバーにネットワークの問題があります。 ドメイン名プロバイダーに連絡して、ネットワーク接続を確認し、修正することができます。

一般的な原因と解決策は次のとおりです。

1. 検証ファイルが指定されたサーバーディレクトリにアップロードされていません。

   詳細については、「ファイル検証」をご参照ください。サイトサーバーの指定された検証ディレクトリ (.well-known/pki-validation/) に検証ファイルをアップロードできます。

2. コンソールのファイル検証に遅延があります。

   検証ファイルを指定されたサーバーディレクトリにアップロードし、Httpsアドレス と Httpアドレス を使用してファイルコンテンツにアクセスできるにもかかわらず、コンソールに 「ファイルが検出されませんでした」 というメッセージが表示される場合は、コンソールのファイル検証に遅延が生じている可能性があります。操作は不要です。システムが自動的に再試行するまで待つことができます。

一般的な原因と解決策は次のとおりです。

1. サーバーのポート 80 または 443 が開いていません。

   現在、CA は Httpsアドレス と Httpアドレス (ポート 443 とポート 80) へのアクセスのみをサポートしており、検証ファイルの内容にアクセスできることを確認します。

   解決策 1: ポート 80 または 443 を開くことができます。

   ポート 80 または 443 を開く方法

   Linux

   1. サーバーターミナルで次のコマンドを実行して、ポート 443 が開いているかどうかを確認します。

      RHEL/CentOS シリーズ

      command -v nc > /dev/null 2>&1 || sudo yum install -y nc
      # <サーバーのパブリック IP アドレス> を実際のサーバーのパブリック IP アドレスに置き換えます。
      sudo ss -tlnp | grep -q ':443 ' || sudo nc -l 443 & sleep 1; nc -w 3 -vz <the public IP address of your server> 443

      出力が Ncat: Connected to <現在のサーバーのパブリック IP アドレス>:443 の場合、ポート 443 は開いています。そうでない場合は、セキュリティグループとファイアウォールでポート 443 を開く必要があります。

      Debian/Ubuntu シリーズ

      command -v nc > /dev/null 2>&1 || sudo apt-get install -y netcat
      # <サーバーのパブリック IP アドレス> を実際のサーバーのパブリック IP アドレスに置き換えます。
      sudo ss -tlnp | grep -q ':443 ' || sudo nc -l -p 443 & sleep 1; nc -w 3 -vz <the public IP address of your server> 443

      出力が Connection to <現在のサーバーのパブリック IP アドレス> port [tcp/https] succeeded! または [<現在のサーバーのパブリック IP アドレス>] 443 (https) open の場合、ポート 443 は開いています。そうでない場合は、セキュリティグループとファイアウォールでポート 443 を開く必要があります。

   2. ポートが開いていない場合は、次の手順に従ってセキュリティグループとファイアウォールでポート 443 を開きます。

      1. セキュリティグループでポート 443 を開く

      重要

      サーバーがクラウドプラットフォームにデプロイされている場合は、そのセキュリティグループがポート 443 (TCP) でのアクセスを許可していることを確認してください。そうでない場合、サービスはインターネットからアクセスできません。以下の手順では、Alibaba Cloud ECS を例として使用します。他のクラウドプラットフォームについては、それぞれの公式ドキュメントをご参照ください。

      1. ECS コンソールにログインします。ページの左上隅で、対象の ECS インスタンスが配置されているリージョンを選択します。[インスタンス] ページで、対象の ECS インスタンスを見つけます。

      2. 対象のインスタンス名をクリックしてインスタンス詳細ページに移動します。[セキュリティグループ] > [すべてのイントラネットインバウンドルール] をクリックし、次の設定を持つルールが存在することを確認します。[認証ポリシー] が [許可]、[プロトコルタイプ] が TCP、[宛先ポート範囲] が HTTPS(443)、[認証オブジェクト] が [任意 (0.0.0.0/0)] です。

      3. このルールが存在しない場合は、次の手順に従って追加します。セキュリティグループの設定に関する詳細については、「セキュリティグループルールの追加」をご参照ください。

         1. ECS インスタンスの詳細ページで、[セキュリティグループ] > [セキュリティグループリスト] をクリックし、対象のセキュリティグループを選択して、その詳細ページに移動します。

         2. [セキュリティグループの詳細] > [インバウンド] で、[クイック追加] をクリックします。

         3. [クイック追加] パネルで、[ポート範囲] で [HTTPS (443)] を選択し、[OK] をクリックします。

      2. サーバーのローカルファイアウォールでポート 443 を開く

      次のコマンドを実行して、システムのファイアウォールサービスを特定します。

      if command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet firewalld; then
          echo "firewalld"
      elif command -v ufw >/dev/null 2>&1 && sudo ufw status | grep -qw active; then
          echo "ufw"
      elif command -v nft >/dev/null 2>&1 && sudo nft list ruleset 2>/dev/null | grep -q 'table'; then
          echo "nftables"
      elif command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet iptables; then
          echo "iptables"
      elif command -v iptables >/dev/null 2>&1 && sudo iptables -L 2>/dev/null | grep -qE 'REJECT|DROP|ACCEPT'; then
          echo "iptables"
      else
          echo "none"
      fi

      出力が none の場合、これ以上の操作は必要ありません。それ以外の場合は、出力 (firewalld、ufw、nftables、または iptables) に基づいて、対応するコマンドを実行してポート 443 を開きます。

      firewalld

      sudo firewall-cmd --permanent --add-port=443/tcp && sudo firewall-cmd --reload

      ufw

      sudo ufw allow 443/tcp

      nftables

      sudo nft add table inet filter 2>/dev/null
      sudo nft add chain inet filter input '{ type filter hook input priority 0; }' 2>/dev/null
      sudo nft add rule inet filter input tcp dport 443 counter accept 2>/dev/null

      iptables

      sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

      システムの再起動後に iptables ルールが失われるのを防ぐには、次のコマンドを実行してルールを永続化します。

      RHEL/CentOS シリーズ

      sudo yum install -y iptables-services
      sudo service iptables save

      Debian/Ubuntu シリーズ

      sudo apt-get install -y iptables-persistent
      sudo iptables-save | sudo tee /etc/iptables/rules.v4 >/dev/null

   Windows

   1. セキュリティグループでポート 443 を開く

   重要

   サーバーがクラウドプラットフォームにデプロイされている場合は、そのセキュリティグループがポート 443 (TCP) でのインバウンドアクセスを許可していることを確認してください。そうでない場合、サービスはインターネットからアクセスできません。以下の手順では、Alibaba Cloud ECS を例として使用します。他のクラウドプラットフォームについては、それぞれの公式ドキュメントをご参照ください。

   1. ECS コンソールにログインします。ページの左上隅で、対象の ECS インスタンスが配置されているリージョンを選択します。[インスタンス] ページで、対象の ECS インスタンスを見つけます。

   2. 対象のインスタンス名をクリックしてインスタンス詳細ページに移動します。[セキュリティグループ] > [すべてのイントラネットインバウンドルール] をクリックし、次の設定を持つルールが存在することを確認します。[認証ポリシー] が [許可] に設定され、[プロトコルタイプ] が TCP、[宛先ポート範囲] が HTTPS(443)、[認証オブジェクト] が [任意 (0.0.0.0/0)] に設定されていることを確認します。このルールが存在しない場合は、追加します。

      セキュリティグループルールの追加方法

      1. ECS インスタンスの詳細ページで、[セキュリティグループ] > [セキュリティグループリスト] をクリックし、対象のセキュリティグループを選択して、その詳細ページに移動します。

      2. セキュリティグループの詳細ページの [セキュリティグループの詳細] > [インバウンド] で、[ルールの追加] をクリックします。

      3. [セキュリティグループルールの作成] パネルで、[宛先 (このインスタンス)] を [HTTPS (443)] に設定し、他のパラメーターはデフォルト値のままにして、[OK] をクリックします。

      4. セキュリティグループの設定に関する詳細については、「セキュリティグループルールの追加」をご参照ください。

   2. サーバーのローカルファイアウォールでポート 443 を開く

   1. Windows サーバーにログインし、左下隅の [スタート] メニューをクリックして、[コントロールパネル] を開きます。

   2. [システムとセキュリティ] > [Windows ファイアウォール] > [ファイアウォールの状態の確認] をクリックします。

   3. 次の図に示すように、ファイアウォールがオフになっている場合、これ以上の操作は必要ありません。

   4. ファイアウォールがオンになっている場合は、HTTPS ルールを許可する必要があります。

      ファイアウォールの HTTPS ルールを許可する方法

      1. 左側のナビゲーションウィンドウで、[詳細設定] > [受信の規則] をクリックし、[プロトコル] が TCP、[ローカルポート] が 443、[操作] が [ブロック] である受信の規則があるかどうかを確認します。

      2. そのようなルールが存在する場合は、ルールを右クリックして [プロパティ] を選択します。[全般] タブで、設定を [接続を許可する] に変更し、[適用] をクリックします。

      3. 詳細については、「ファイアウォールルールを設定する」をご参照ください。

   解決策 2: 証明書申請 パネルで、申請の取り消し をクリックし、ドメイン検証方法を 手動dns検証 に変更できます。

2. 301 または 302 リダイレクトが設定されています。

   • wget -S <URL アドレス> コマンドを使用して、検証 URL がリダイレクトされているかどうかを確認できます。応答が HTTP/1.1 301 Moved Permanently または HTTP/1.1 302 Found の場合、リダイレクトが存在します。

     wget -S http://<your_domain_name>/.well-known/pki-validation/<validation_file_name>

   • リダイレクト設定を削除できます。次のコードは、Nginx 設定ファイル `nginx.conf` での 301 および 302 設定の例です。

     301 設定

     server {
         listen 80;
         server_name <your_primary_domain_name> <your_www_subdomain>;
         return 301 redirection_domain$request_uri;
     }

     302 設定

     location /.well-known/ {
         return 302 <redirection_address>
     }

• DNS サーバーにネットワークの問題があります。

  ドメイン名プロバイダーに連絡して、ネットワーク接続を確認し、修正することができます。

• 個人テスト証明書のドメイン名に禁止用語が含まれています。

  解決策 1: 特殊な単語 (edu、gov、org、jp (国別コード)、pay、bank、live、nuclear など) を置き換えて、リクエストを再送信できます。

  解決策 2: ドメイン名を変更できない場合は、OV、EV、 証明書を購入できます。

一般的な原因と解決策は次のとおりです。

1. DNS サーバー上の古いファイルが削除されていません。

   1. 証明書申請 パネルで、検出されたファイルの表示 をクリックし、検出されたファイルに関する情報を記録します。

   2. DNS サーバーに移動し、検出されたファイルを削除できます。

      説明

      通常、古いファイルは サイトのルートディレクトリ/.well-known/pki-validation ディレクトリにあります。

   3. 詳細については、「ファイル検証」をご参照ください。最新の検証ファイルを再ダウンロードして DNS サーバーにアップロードできます。

2. HTTPS サービスパスがデプロイされていません。

   一部のサイトページでは HTTPS アクセスが有効になっていますが、検証ファイルは HTTP サービスパスにのみデプロイされており、HTTPS サービスパスにはデプロイされていません。これによりエラーが発生します。

   解決策 1: 検証ファイルを HTTP と HTTPS の両方のサービスパスにデプロイし、HTTPS プロトコルが正常にアクセスできることを確認します。

   解決策 2: サイトの関連ページで HTTPS サービスを一時的に無効にすることができます。

3. CDN が有効になっていますが、中国国外の CDN POP (Point of Presence) へのデータ同期が完了していません。

   解決策 1: 検証ファイルを中国国外の CDN POP に同期するか、中国国外の CDN アクセラレーションサービスを一時的に無効にすることができます。

   解決策 2: CDN POP サーバーに変更を加えられない場合は、証明書申請 パネルで 申請の取り消し をクリックし、ドメイン検証方法を 手動dns検証 に変更できます。

4. 検証ファイルのタイムスタンプの有効期限が切れています。

   Certificate Management Service コンソールにアクセスし、最新の検証ファイルを再ダウンロードして、Web サイトの指定されたフォルダにアップロードできます。

• www サブドメインとプライマリドメイン名の検証が不完全です

  認証局 (CA) の検証仕様によると、CA は申請しているドメイン名に関係なく、プライマリドメイン名とその www サブドメインの両方をチェックします。両方のドメイン名で検証ファイルにパブリックにアクセスできることを確認する必要があります。そうでない場合、検証は失敗します。

  説明

  たとえば、ドメイン www.example.com と aliyundoc.com の場合、http://www.example.com/.well-known/pki-validation/fileauth.txt と http://example.com/.well-known/pki-validation/fileauth.txt の両方にアクセスできることを確認する必要があります。そうでない場合、検証は失敗します。

• HTTPS サービスが無効になっていません

  サーバーに HTTPS サービスがある場合は、Httpsアドレス で検証ファイルの内容にアクセスできることを確認する必要があります。そうでない場合は、検証の失敗を防ぐために、ドメイン名の HTTPS サービスを一時的にシャットダウンすることをお勧めします。

  説明

  サーバーに HTTPS サービスが設定されていない場合は、Httpアドレス で検証ファイルの内容にアクセスできることを確認するだけで済みます。

いいえ、サポートしていません。詳細については、「[通知] ワイルドカード証明書リクエストではファイル検証がサポートされなくなりました」をご参照ください。