証明書チェーンは、ルート証明書、1 つ以上の中間証明書、およびサーバー証明書で構成されます。証明書チェーンが不完全な場合 (通常は中間証明書が欠落しているため)、ウェブサイトにアクセスすると、ブラウザで接続の失敗やその他のエラーが報告されることがあります。
このページでは、証明書チェーンが完全であるかどうかを確認し、修正する方法について説明します。
ステップ 1:証明書チェーンが完全であるかの確認
サーバーで次のコマンドを実行して、証明書チェーンを確認します。このコマンドは、ウェブサイトが現在デプロイされているかどうかに関係なく実行できます。
openssl s_client -connect <Server_IP>:443 -servername <Domain_Name>プレースホルダーを実際の値に置き換えます。
| プレースホルダー | 説明 |
|---|---|
<Server_IP> | サーバーの IP アドレス |
<Domain_Name> | ウェブサイトのドメイン名 |
出力の見方:次の図は、完全な証明書チェーンで期待される出力を示しています。セクション 1 はドメイン証明書、セクション 2 は中間証明書です。出力にセクション 1 (ドメイン証明書) のみ表示される場合、チェーンは不完全です。
ドメイン証明書と中間証明書が同じファイルに保存されている場合は、ドメイン証明書、中間証明書の順に正しく連結する必要があります。間に空白行やキャリッジリターンを入れないでください。
ステップ 2:証明書のダウンロードと再デプロイ
チェーンが不完全な場合は、完全な証明書パッケージをダウンロードして再デプロイします。
Certificate Management Service コンソールにログインし、ご利用のサーバータイプに対応する証明書をダウンロードします。サポートされているサーバータイプとダウンロード手順のリストについては、「インストールの概要」をご参照ください。
ご利用の環境に応じて証明書をデプロイします。
Web サーバー:「インストールの概要」にあるサーバー別のインストール手順に従います。
Alibaba Cloud サービス:Certificate Management Service コンソールから直接デプロイします。手順については、「Alibaba Cloud サービスへの証明書のデプロイ」をご参照ください。