Certificate Management Service:CA (認証局) への申請の提出

有料証明書の申請

有料証明書には、ドメイン認証 (DV)、組織認証 (OV)、EV (拡張認証) の 3 種類があります。証明書申請を提出する際には、証明書の種類に必要な情報を入力し、CA にレビューのために提出する必要があります。この情報には、バインドするドメイン名または IP アドレス、ドメイン検証方法、証明書の連絡先、および会社が含まれます。

1. Certificate Management Service コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[証明書管理] > [SSL 証明書管理]を選択します。

3. [公式証明書] タブで、対象の証明書の [操作] 列の [証明書署名要求] をクリックするか、[ステータス] 列の アイコンにマウスカーソルを合わせ、[証明書署名要求] をクリックします。

   

4. 証明書申請パネルで、次の設定を完了し、レビューのために送信 をクリックします。

   説明

   Alibaba Cloud Certificate Management Service は、バインドするドメイン名や連絡先情報など、提出された申請情報を CA に送信してレビューを受けます。

   DV 証明書申請情報

   • 証明書バインディングドメイン名

     • ドメイン名の要件

       • タイプの一致: 入力するドメイン名のタイプ (シングルドメイン、マルチドメイン、またはワイルドカード) は、購入した証明書と一致している必要があります。

       • 長さの制限: 単一ドメイン名の全長は 253 文字を超えることはできません。ドメイン名の各ラベル (ピリオド (.) で区切られた部分) の長さは 63 文字を超えることはできません。

     • 特別なフォーマット要件:

       • ワイルドカード文字: ワイルドカードドメイン名は * で始まる必要があります (例: *.example.com)。

       • 中国のドメイン名: 中国のドメイン名を使用する場合、コンソールのプロンプトに従って Punycode に変換する必要があります (例: AlibabaCloud.company -> xn--fhq546a.xn--55qx5d)。トランスコードツールを使用して変換することもできます。詳細については、「中国のドメイン名変換」をご参照ください。

       • IP アドレス: 一部のシングルドメイン OV 証明書 (ブランド: GlobalSign、GeoTrust) でのみサポートされています。

     • ドメイン名サフィックスに関する注意:DigiCert は、.edu、.gov、.org、.jp、.pay、.bank、.live、.nuclear、または .ru などの特定のサフィックスを持つドメイン名の証明書を発行しません。GlobalSign にはこの制限はありません。

     • ドメイン名ギフト: Alibaba Cloud Certificate Service から商用証明書を購入し、ドメイン名をバインドする際に、ドメイン名が商用証明書の購入の対象である場合、Alibaba Cloud はバインド完了後に無料で対応するドメイン名を提供します。

   • ドメイン名検証方法

     証明書とドメイン名の DNS が異なる Alibaba Cloud アカウントにある場合

     • 手動dns検証 (推奨): ドメイン名解決サービスプラットフォームにログインし、TXT DNS レコードを追加します。

     • ファイル検証: Web サイトサーバーにログインし、指定されたディレクトリに必要な検証ファイルを作成してアップロードします。

       重要

       ワイルドカードドメイン名はファイル検証をサポートしていません。

     証明書とドメイン名の DNS が同じ Alibaba Cloud アカウントにある場合

     システムは 自動dns検証 メソッドを使用します。Alibaba Cloud は、Alibaba Cloud DNS コンソールで対応するドメイン名に DNS レコードを自動的に追加してドメインの所有権を検証します。手動操作は不要です。

   • 連絡先

     ドロップダウンリストから証明書申請の連絡先を選択します。連絡先情報には、メールアドレスと携帯電話番号が含まれます。

     重要

     認証局 (CA) が申請リクエストを受信した後、CA は連絡先のメールアドレスに検証メールを送信するか、電話で連絡して申請をレビューします。したがって、連絡先情報が正確で有効であることを確認してください。

     連絡先の作成と変更方法

     • 連絡先を作成していない場合は、新しい連絡先 をクリックして作成できます。

     • 連絡先の横にある [編集] をクリックして、その情報を変更することもできます。証明書サービスは、将来の使用のために新しい連絡先情報を保存します。

     • また、Comprehensive Management > 連絡先の管理 に移動して連絡先を管理することもできます。詳細については、「連絡先を管理する」をご参照ください。

   • 場所

     申請者が所在する都市またはリージョンを選択します。

   • 暗号化アルゴリズム

   • Csr生成方法

     CSR とは

     証明書署名リクエスト (CSR) は、ドメイン名、組織情報、およびその他のデータを含む暗号化されたテキストファイルです。SSL 証明書を申請する際に認証局 (CA) に提出する必要がある資格情報です。CA は CSR の情報を検証し、その秘密鍵で新しく生成された証明書に署名します。CSR と共に生成される秘密鍵は、サーバーのセキュリティ構成のコアコンポーネントであり、公開鍵証明書とペアにする必要があります。

     システム生成 (推奨)

     Alibaba Cloud は、CSR と秘密鍵を自動的に作成します。証明書が発行された後、秘密鍵を含む完全なファイルを直接ダウンロードできます。

     手動入力

     OpenSSL や Keytool などのツールを使用して、CSR と秘密鍵ファイルを手動で生成し、安全に保管してから、CSR の内容を Csrファイルの内容 設定項目にコピーします。CSR と秘密鍵ファイルの作成方法の詳細については、「CSR ファイルの作成方法」をご参照ください。

     重要

     • 秘密鍵は安全に保管する必要があります。秘密鍵を紛失した場合、サーバーで証明書を使用することはできません。秘密鍵は回復できません。新しいキーペアを生成し、証明書の再発行をリクエストする必要があります。

     • CSR の暗号化アルゴリズムは、以前に選択したキーアルゴリズムと一致している必要があります。

     既存の CSR を選択

     証明書サービスコンソールで既に作成またはアップロードされている CSR から、証明書バインディングドメイン名 に一致する CSR を選択します。CSR の作成とアップロードの詳細については、「CSR の作成」をご参照ください。

   • Csrファイルの内容

     このパラメーターは、Csr生成方法 を 手動で入力する または 既存の CSR を選択 に設定した場合にのみ必要です。CSR ファイルの内容を入力します。

   OV 証明書申請情報

   説明

   OV 証明書の申請を提出した後、CA は連絡先にメールまたは電話でドメインの所有権の検証手順を送信します。連絡先は、ドメインの所有権を確認するために、要件に従って検証を完了する必要があります。

   • 証明書バインディングドメイン名

     • ドメイン名の要件

       • タイプの一致: 入力するドメイン名のタイプ (シングルドメイン、マルチドメイン、またはワイルドカード) は、購入した証明書と一致している必要があります。

       • 長さの制限: 単一ドメイン名の全長は 253 文字を超えることはできません。ドメイン名の各ラベル (ピリオド (.) で区切られた部分) の長さは 63 文字を超えることはできません。

     • 特別なフォーマット要件:

       • ワイルドカード文字: ワイルドカードドメイン名は * で始まる必要があります (例: *.example.com)。

       • 中国のドメイン名: 中国のドメイン名を使用する場合、コンソールのプロンプトに従って Punycode に変換する必要があります (例: AlibabaCloud.company -> xn--fhq546a.xn--55qx5d)。トランスコードツールを使用して変換することもできます。詳細については、「中国のドメイン名変換」をご参照ください。

       • IP アドレス: 一部のシングルドメイン OV 証明書 (ブランド: GlobalSign、GeoTrust) でのみサポートされています。

     • ドメイン名サフィックスに関する注意:DigiCert は、.edu、.gov、.org、.jp、.pay、.bank、.live、.nuclear、または .ru などの特定のサフィックスを持つドメイン名の証明書を発行しません。GlobalSign にはこの制限はありません。

     • ドメイン名ギフト: Alibaba Cloud Certificate Service から商用証明書を購入し、ドメイン名をバインドする際に、ドメイン名が商用証明書の購入の対象である場合、Alibaba Cloud はバインド完了後に無料で対応するドメイン名を提供します。

   • 連絡先

     ドロップダウンリストから証明書申請の連絡先を選択します。連絡先情報には、メールアドレスと携帯電話番号が含まれます。

     重要

     認証局 (CA) が申請リクエストを受信した後、CA は連絡先のメールアドレスに検証メールを送信するか、電話で連絡して申請をレビューします。したがって、連絡先情報が正確で有効であることを確認してください。

     連絡先の作成と変更方法

     • 連絡先を作成していない場合は、新しい連絡先 をクリックして作成できます。

     • 連絡先の横にある [編集] をクリックして、その情報を変更することもできます。証明書サービスは、将来の使用のために新しい連絡先情報を保存します。

     • また、Comprehensive Management > 連絡先の管理 に移動して連絡先を管理することもできます。詳細については、「連絡先を管理する」をご参照ください。

   • 会社

     ドロップダウンリストから証明書申請の会社情報を選択します。情報には、会社名、電話番号、住所が含まれます。

     会社プロファイルを作成していない場合は、新会社 をクリックして作成できます。会社の横にある [編集] をクリックして、その情報を変更することもできます。証明書サービスは、将来の使用のために新しい会社情報を保存します。会社プロファイルの作成方法の詳細については、「会社情報を管理する」をご参照ください。

     .gov ドメイン名の OV 証明書を申請する場合、ドメイン名の WHOIS 登録者の連絡先情報が会社名と一致している必要があります。

   • ビジネスライセンス

     会社 を選択すると、システムは会社プロファイルにアップロードされた営業許可証の画像を自動的に検出します。会社プロファイルを作成する際に営業許可証をアップロードしなかった場合、このフィールドは空になります。CA による迅速なレビューを確実にするために、会社の営業許可証をアップロードする必要があります。

   • 暗号化アルゴリズム

     証明書のキーアルゴリズムを選択します。

     • RSA (デフォルト): 高い互換性を提供する、広く使用されている非対称暗号化アルゴリズム。

     • ECC: Elliptic Curve Cryptography (楕円曲線暗号) の略。RSA と比較して、ECC はより高度で安全な暗号化アルゴリズムです。より高速な暗号化、より高い効率、およびより低いサーバーリソース消費を提供します。現在、主要なブラウザで広くサポートされています。

     重要

     現在、一部の証明書ブランドとタイプのみが ECCをサポートしています。詳細については、「SSL 証明書選択ガイド」をご参照ください。

   • Csr生成方法

     CSR とは

     証明書署名リクエスト (CSR) は、ドメイン名、組織情報、およびその他のデータを含む暗号化されたテキストファイルです。SSL 証明書を申請する際に認証局 (CA) に提出する必要がある資格情報です。CA は CSR の情報を検証し、その秘密鍵で新しく生成された証明書に署名します。CSR と共に生成される秘密鍵は、サーバーのセキュリティ構成のコアコンポーネントであり、公開鍵証明書とペアにする必要があります。

     システム生成 (推奨)

     Alibaba Cloud は、CSR と秘密鍵を自動的に作成します。証明書が発行された後、秘密鍵を含む完全なファイルを直接ダウンロードできます。

     手動入力

     OpenSSL や Keytool などのツールを使用して、CSR と秘密鍵ファイルを手動で生成し、安全に保管してから、CSR の内容を Csrファイルの内容 設定項目にコピーします。CSR と秘密鍵ファイルの作成方法の詳細については、「CSR ファイルの作成方法」をご参照ください。

     重要

     • 秘密鍵は安全に保管する必要があります。秘密鍵を紛失した場合、サーバーで証明書を使用することはできません。秘密鍵は回復できません。新しいキーペアを生成し、証明書の再発行をリクエストする必要があります。

     • CSR の暗号化アルゴリズムは、以前に選択したキーアルゴリズムと一致している必要があります。

     既存の CSR を選択

     証明書サービスコンソールで既に作成またはアップロードされている CSR から、証明書バインディングドメイン名 に一致する CSR を選択します。CSR の作成とアップロードの詳細については、「CSR の作成」をご参照ください。

   • Csrファイルの内容

     このパラメーターは、Csr生成方法 を 手動で入力する または 既存の CSR を選択 に設定した場合にのみ必要です。CSR ファイルの内容を入力します。

   EV 証明書申請情報

   説明

   EV 証明書の申請を提出した後、CA は連絡先にメールまたは電話でドメインの所有権の検証手順を送信します。連絡先は、ドメインの所有権を確認するために、要件に従って検証を完了する必要があります。

   • 証明書バインディングドメイン名

     • ドメイン名の要件

       • タイプの一致: 入力するドメイン名のタイプ (シングルドメイン、マルチドメイン、またはワイルドカード) は、購入した証明書と一致している必要があります。

       • 長さの制限: 単一ドメイン名の全長は 253 文字を超えることはできません。ドメイン名の各ラベル (ピリオド (.) で区切られた部分) の長さは 63 文字を超えることはできません。

     • 特別なフォーマット要件:

       • ワイルドカード文字: ワイルドカードドメイン名は * で始まる必要があります (例: *.example.com)。

       • 中国のドメイン名: 中国のドメイン名を使用する場合、コンソールのプロンプトに従って Punycode に変換する必要があります (例: AlibabaCloud.company -> xn--fhq546a.xn--55qx5d)。トランスコードツールを使用して変換することもできます。詳細については、「中国のドメイン名変換」をご参照ください。

       • IP アドレス: 一部のシングルドメイン OV 証明書 (ブランド: GlobalSign、GeoTrust) でのみサポートされています。

     • ドメイン名サフィックスに関する注意:DigiCert は、.edu、.gov、.org、.jp、.pay、.bank、.live、.nuclear、または .ru などの特定のサフィックスを持つドメイン名の証明書を発行しません。GlobalSign にはこの制限はありません。

     • ドメイン名ギフト: Alibaba Cloud Certificate Service から商用証明書を購入し、ドメイン名をバインドする際に、ドメイン名が商用証明書の購入の対象である場合、Alibaba Cloud はバインド完了後に無料で対応するドメイン名を提供します。

   • 連絡先

     ドロップダウンリストから証明書申請の連絡先を選択します。連絡先情報には、メールアドレスと携帯電話番号が含まれます。

     重要

     認証局 (CA) が申請リクエストを受信した後、CA は連絡先のメールアドレスに検証メールを送信するか、電話で連絡して申請をレビューします。したがって、連絡先情報が正確で有効であることを確認してください。

     連絡先の作成と変更方法

     • 連絡先を作成していない場合は、新しい連絡先 をクリックして作成できます。

     • 連絡先の横にある [編集] をクリックして、その情報を変更することもできます。証明書サービスは、将来の使用のために新しい連絡先情報を保存します。

     • また、Comprehensive Management > 連絡先の管理 に移動して連絡先を管理することもできます。詳細については、「連絡先を管理する」をご参照ください。

   • 会社

     ドロップダウンリストから証明書申請の会社情報を選択します。情報には、会社名、電話番号、住所が含まれます。

     会社プロファイルを作成していない場合は、新会社 をクリックして作成できます。会社の横にある [編集] をクリックして、その情報を変更することもできます。証明書サービスは、将来の使用のために新しい会社情報を保存します。会社プロファイルの作成方法の詳細については、「会社情報を管理する」をご参照ください。

     .gov ドメイン名の OV 証明書を申請する場合、ドメイン名の WHOIS 登録者の連絡先情報が会社名と一致している必要があります。

   • ビジネスライセンス

     会社 を選択すると、システムは会社プロファイルにアップロードされた営業許可証の画像を自動的に検出します。会社プロファイルを作成する際に営業許可証をアップロードしなかった場合、このフィールドは空になります。CA による迅速なレビューを確実にするために、会社の営業許可証をアップロードする必要があります。

   • 暗号化アルゴリズム

     証明書のキーアルゴリズムを選択します。

     • RSA (デフォルト): 高い互換性を提供する、広く使用されている非対称暗号化アルゴリズム。

     • ECC: Elliptic Curve Cryptography (楕円曲線暗号) の略。RSA と比較して、ECC はより高度で安全な暗号化アルゴリズムです。より高速な暗号化、より高い効率、およびより低いサーバーリソース消費を提供します。現在、主要なブラウザで広くサポートされています。

     重要

     現在、一部の証明書ブランドとタイプのみが ECCをサポートしています。詳細については、「SSL 証明書選択ガイド」をご参照ください。

   • Csr生成方法

     CSR とは

     証明書署名リクエスト (CSR) は、ドメイン名、組織情報、およびその他のデータを含む暗号化されたテキストファイルです。SSL 証明書を申請する際に認証局 (CA) に提出する必要がある資格情報です。CA は CSR の情報を検証し、その秘密鍵で新しく生成された証明書に署名します。CSR と共に生成される秘密鍵は、サーバーのセキュリティ構成のコアコンポーネントであり、公開鍵証明書とペアにする必要があります。

     システム生成 (推奨)

     Alibaba Cloud は、CSR と秘密鍵を自動的に作成します。証明書が発行された後、秘密鍵を含む完全なファイルを直接ダウンロードできます。

     手動入力

     OpenSSL や Keytool などのツールを使用して、CSR と秘密鍵ファイルを手動で生成し、安全に保管してから、CSR の内容を Csrファイルの内容 設定項目にコピーします。CSR と秘密鍵ファイルの作成方法の詳細については、「CSR ファイルの作成方法」をご参照ください。

     重要

     • 秘密鍵は安全に保管する必要があります。秘密鍵を紛失した場合、サーバーで証明書を使用することはできません。秘密鍵は回復できません。新しいキーペアを生成し、証明書の再発行をリクエストする必要があります。

     • CSR の暗号化アルゴリズムは、以前に選択したキーアルゴリズムと一致している必要があります。

     既存の CSR を選択

     証明書サービスコンソールで既に作成またはアップロードされている CSR から、証明書バインディングドメイン名 に一致する CSR を選択します。CSR の作成とアップロードの詳細については、「CSR の作成」をご参照ください。

   • Csrファイルの内容

     このパラメーターは、Csr生成方法 を 手動で入力する または 既存の CSR を選択 に設定した場合にのみ必要です。CSR ファイルの内容を入力します。

5. 証明書申請情報を確認した後、ドメインの所有権の検証を完了する必要があります。

証明書マージの制限

証明書をマージするには、次のすべての条件を満たす必要があります。

1. 基本要件:

   • 証明書は同じブランドとタイプである必要があります。

   • 証明書のステータスは「申請待ち」である必要があります。

   • 証明書がホスティングされていないこと。証明書がホスティングされている場合は、まず 証明書のホスティングをキャンセルする必要があります。

2. 特定のブランドの追加ルール: 基本要件に加えて、一部のブランドには次の制限が適用されます。

   • WoSign: DV 証明書のみマージできます。

   • GlobalSign:

     • DV タイプ: プライマリドメイン名は同じである必要があります。ワイルドカードドメイン名と IP アドレスはサポートされていません。

     • EV タイプ: プライマリドメイン名に制限はありませんが、ワイルドカードドメイン名と IP アドレスはサポートされていません。

     • OV タイプ: プライマリドメイン名に制限はなく、ワイルドカードドメイン名と IP アドレスはサポートされています。

手順

1. Certificate Management Service コンソールにログインします。

2. 公式証明書 タブで、証明書リストの上にある証明書ステータスのドロップダウンリストをクリックし、保留中の申請 を選択します。マージしたい証明書を見つけます。[アクション] 列で、証明書の合併 をクリックします。

3. 証明書のマージ ダイアログボックスで、現在の証明書とマージする証明書を選択し、確認チェックボックスを選択してから、証明書のマージ をクリックします。

   

   成功ダイアログボックスで、[OK] をクリックします。

4. マージされた証明書を見つけます。[アクション] 列で、証明書申請 をクリックします。

   マージされた証明書は、cas-merge で始まる名前で見つけることができます。

5. 証明書申請パネルで、プロンプトに従って 証明書バインディングドメイン名 を設定し、他の申請情報を入力します。次に、レビューのために送信 をクリックします。

   • マージされた証明書にバインドできるドメイン名の数は、マージ前の各個別証明書にバインドできたドメイン名の合計です。

     

   • 証明書申請の他の設定項目に関する詳細については、「申請情報」をご参照ください。

6. 証明書申請情報を確認した後、ドメインの所有権の検証を完了する必要があります。

検証方法の選択方法は？

コンソールは通常、申請する証明書の種類とドメイン名の種類に基づいて検証方法を推奨します。「ドメインの所有権の検証方法を選択するにはどうすればよいですか？」もご参照ください。

証明書申請は中国のドメイン名をサポートしていますか？

はい、サポートしています。中国のドメイン名をバインドする場合、証明書を申請する前に、コンソールのプロンプトに従って Punycode に変換する必要があります。トランスコードツールを使用することもできます。詳細については、「中国のドメイン名を変換する」をご参照ください。

連絡先のメールアドレスや電話番号を変更するにはどうすればよいですか？

• 連絡先を作成していない場合は、申請情報を入力する際に連絡先のドロップダウンリストで 新しい連絡先 をクリックできます。

• 既存の連絡先を変更したい場合は、申請情報を入力する際に連絡先のドロップダウンリストで連絡先の横にある [編集] をクリックできます。

• コンソールの Comprehensive Management > 連絡先の管理 セクションで連絡先を管理することもできます。詳細については、「連絡先を管理する」をご参照ください。

申請を提出してから証明書が発行されるまでどのくらいかかりますか？

申請を提出した後、CA と協力してドメインの所有権の検証を完了する必要があります。詳細については、「ドメインの所有権の検証」をご参照ください。ドメインの所有権が検証された後、DV 証明書は 1〜15 分で自動的に発行されます。OV および EV 証明書は平均 5 暦日で発行されます。レビューと発行期間は、検証プロセスによって延長される場合があります。

個人テスト証明書が長期間発行されないのはなぜですか？

個人テスト証明書 (旧無料証明書) は、特殊なサフィックスを持つドメインの申請をサポートしていません。例としては、.edu、.gov、.org、.jp、.pay、.bank、.live、.nuclear、および .ru があります。これらのサフィックスのいずれかを持つドメイン名を入力した場合、検証期間が延長されたり、レビューが失敗したりする可能性があります。

OV および EV 証明書の申請では、会社情報がドメインの認証済み会社情報と一致している必要がありますか？

はい、一致している必要があります。コンソールの Comprehensive Management > 会社情報管理 セクションで会社情報を管理できます。詳細については、「会社情報を管理する」をご参照ください。