保留中の申請 状態の証明書アプリケーションをキャンセルすると、クォータがアカウントに返されます。この Topic では、返された証明書クォータを使用して、新しい SSL 証明書インスタンスを手動で作成し、ドメインをバインドし、証明書リクエストプロセスを開始する方法について説明します。
新規に購入した証明書は、自動的に保留中の申請 状態で作成されます。このトピックをスキップし、「CA にリクエストを送信する」に直接進んでください。
前提条件
公式 (有料) 証明書に利用可能なクォータがあること。
ワークフロー
操作手順
Certificate Management Service コンソールにログインし、を選択して、証明書の作成をクリックします。
ステップ 1:基本設定の構成
以下に従って基本パラメーターを設定します。 [クイック発行] 設定は、その後の動作を決定します。 [クイック発行] が選択されている場合:システムが証明書リクエストを自動的に送信します。 [クイック発行] が選択されていない場合:[OK] をクリックすると、証明書のドラフトが 保留中の申請 状態で作成されます。このドラフトは、後で CA に送信する必要があります。
証明書タイプ
シングルドメイン、マルチドメイン、ワイルドカードなど、作成可能な証明書のタイプが表示されます。利用可能なクォータがあるタイプのみ選択できます。
証明書の仕様
証明書のブランドと検証レベルを選択します。表示されるオプションは、現在保有している証明書クォータに基づいています。必要な仕様が利用できない場合は、追加の証明書を購入してください。
ドメイン名
一般的な検証ルール
タイプの一貫性:ドメイン形式は証明書タイプと一致する必要があります。たとえば、ワイルドカード証明書にはワイルドカードドメインが必要です。
長さの制限:シングルドメイン名は 253 文字を超えることはできません。ピリオド (.) で区切られた個々のラベルは 63 文字を超えることはできません。
形式固有のルール:
ワイルドカードドメイン:アスタリスク (
*) で始まる必要があります (例:*.example.com)。中国語ドメイン名:Punycode 形式に変換する必要があります。たとえば、
Alibaba Cloud.companyはxn--fhq546a.xn--55qx5dに変換されます。コンソールのプロンプトを使用するか、外部のトランスコーディングツールを使用できます。IP アドレス:特定のブランド (GlobalSignおよび GeoTrust) の OV シングルドメイン証明書でのみサポートされます。
TLD の制限:DigiCert ブランドの証明書は、
.edu、.gov、.org、.jp、.pay、.bank、.live、.nuclear、.ruなどの特別な TLD を持つドメイン名には発行できません。GlobalSign ブランドの証明書にはそのような制限はありません。無料ドメイン名:入力したドメイン名が適格要件を満たす場合、無料ドメイン名が自動的に含まれます。
年
サブスクリプション期間を選択します。
CA が発行する証明書の標準的な有効期間は 1 年 (最大 397 日) です。1 年を超える有効期間は、複数年にわたるマネージドサービスとして提供されます。
1 年を超えるサービス期間には、証明書ホスティングサービスと同一仕様の複数の証明書が必要です。サービス期間が 1 年追加されるごとに、証明書クォータ 1 つとホスティングサービスインスタンス 1 つが消費されます。
説明例:2 年間のサービス期間の場合:
1 年間の証明書 2 つとホスティングサービスインスタンス 1 つを消費します。
最初の証明書の有効期限が近づくと、サービスは自動的に更新します。2 つ目の証明書は新しい申請なしで発行されます。
迅速な問題
このオプションを選択して申請詳細を入力します。システムは作成時にリクエストを CA に自動的に送信します。あとはドメインの所有権の検証を完了するだけです。
ステップ 2 (オプション):申請詳細の提供 (クイック発行)
迅速な問題 を選択した場合、CA が要求する検証情報を提供する必要があります。情報を入力した後、[送信] をクリックします。証明書のステータスは 申請審査中 に変わります。その後、ドメイン名の所有権検証を完了する必要があります。必須フィールドは、証明書の検証レベル (DV、OV、または EV) によって異なります。
DV 証明書
以下の詳細を提供します。
ドメイン名検証方法
別アカウントの DNS
手動dns検証 (推奨): DNS プロバイダーのプラットフォームにサインインし、指定されたTXT DNS レコードを追加します。
ファイル検証: 検証ファイルを Web サーバー上の指定されたディレクトリにアップロードします。
重要ファイル検証はワイルドカードドメイン名ではサポートされていません。
同一アカウントの DNS
システムは 自動dns検証 方式を使用し、Alibaba Cloud DNS コンソールに必要な DNS レコードを設定して所有権を検証します。手動での操作は不要です。
連絡先
このアプリケーションの連絡先を選択します。連絡先を作成または更新するには、新しい連絡先 または [編集] を選択するか、[連絡先管理] ページに移動します。
重要リクエストを受け取った後、CA は連絡先のメールアドレスに検証メールを送信します。CA は、審査内容の確認のために携帯電話番号を使用することもあります。連絡先情報が正確かつ有効であることを確認してください。
場所
申請者が所在する都市または地域を選択します。
暗号化アルゴリズム
RSA (デフォルト): 非対称暗号化の業界標準です。レガシーブラウザおよびクライアントデバイスと最も幅広い互換性があります。
ECC:楕円曲線暗号。RSA と比較して、より短い鍵長でより強力なセキュリティを提供します。処理が高速でサーバーリソースの消費が少なく、ほとんどの最新ブラウザでサポートされています。
重要ECC アルゴリズムは、特定の証明書ブランドとタイプでのみサポートされています。詳細については、「SSL 証明書選択ガイド」をご参照ください。
Csr生成方法
証明書署名リクエスト (CSR) には、ドメイン名、組織情報、公開鍵が含まれます。対応する秘密鍵を安全に保管する必要があります。
システム生成 (推奨)
Alibaba Cloud は CSR と秘密鍵の両方を生成します。証明書が発行された後、コンソールから直接秘密鍵をダウンロードできます。
手動作成
OpenSSL や Keytool などのツールを使用して、CSR と秘密鍵を手動で生成します。秘密鍵を安全に保管し、CSR コンテンツを以下の Csrファイルの内容 フィールドにコピーします。詳細については、「CSR ファイルの作成方法」をご参照ください。
重要秘密鍵のセキュリティについては、お客様が単独で責任を負います。秘密鍵を紛失した場合、回復することはできず、証明書は使用できなくなります。新しいキーペアを生成し、証明書を再申請する必要があります。
CSR の暗号化アルゴリズムは、選択したキーアルゴリズムと一致する必要があります。
既存の CSR を選択
証明書サービスコンソールで以前に作成またはアップロードした CSR から、証明書バインディングドメイン名 と一致するものを 1 つ選択します。CSR の作成とアップロードについては、「CSR の作成」をご参照ください。
Csrファイルの内容
このパラメーターは、Csr生成方法 が 手動で入力する または 既存の CSR を選択 に設定されている場合にのみ必須です。 ここに CSR ファイルの内容を入力してください。
OV 証明書
以下の詳細を提供します。
連絡先
このアプリケーションの連絡先を選択します。連絡先を作成または更新するには、新しい連絡先 または [編集] を選択するか、[連絡先管理] ページに移動します。
重要リクエストを受け取った後、CA は連絡先のメールアドレスに検証メールを送信します。CA は、審査内容の確認のために携帯電話番号を使用することもあります。連絡先情報が正確かつ有効であることを確認してください。
会社
この証明書申請の会社情報 (名前、電話番号、住所など) を選択します。会社情報を作成または変更するには、新会社 または [編集] をクリックするか、[会社情報管理] ページに移動します。
重要.gov ドメイン名の OV 証明書を申請する場合、WHOIS レコードの組織名は会社名と同一である必要があります。
ビジネスライセンス
会社 を選択すると、その会社用にアップロード済みの営業許可証イメージが自動的に識別されます。会社プロファイル作成時に営業許可証をアップロードしていない場合、このフィールドは Empty になります。CA (認証局) による審査を迅速に進めるため、会社の営業許可証をアップロードしてください。
暗号化アルゴリズム
証明書のキーアルゴリズムを選択します。
RSA (デフォルト): 非対称暗号化の業界標準です。レガシーブラウザおよびクライアントデバイスとの最も幅広い互換性を提供します。
ECC:楕円曲線暗号。RSA と比較して鍵長が短く、より強力なセキュリティを提供します。処理が高速でサーバーリソースの消費量が少なく、ほとんどの最新ブラウザでサポートされています。
重要ECC アルゴリズムは、特定の証明書ブランドとタイプでのみサポートされています。詳細については、「SSL 証明書選択ガイド」をご参照ください。
Csr生成方法
証明書署名リクエスト (CSR) には、ドメイン名、組織情報、公開鍵が含まれます。対応する秘密鍵を安全に保管する必要があります。
システム生成 (推奨)
Alibaba Cloud は CSR と秘密鍵の両方を生成します。証明書が発行された後、コンソールから直接秘密鍵をダウンロードできます。
手動作成
OpenSSL や Keytool などのツールを使用して、CSR と秘密鍵を手動で生成します。秘密鍵を安全に保管し、CSR コンテンツを以下の Csrファイルの内容 フィールドにコピーします。詳細については、「CSR ファイルの作成方法」をご参照ください。
重要秘密鍵のセキュリティについては、お客様が単独で責任を負います。秘密鍵を紛失した場合、回復することはできず、証明書は使用できなくなります。新しいキーペアを生成し、証明書を再申請する必要があります。
CSR の暗号化アルゴリズムは、選択したキーアルゴリズムと一致する必要があります。
既存の CSR を選択
証明書サービスコンソールで以前に作成またはアップロードした CSR から、証明書バインディングドメイン名 に一致するものを選択します。CSR の作成およびアップロードの手順については、「CSR の作成」をご参照ください。
Csrファイルの内容
このパラメーターは、Csr生成方法 が 手動で入力する または 既存の CSR を選択 に設定されている場合にのみ必須です。CSR ファイルの内容をここに入力します。
EV 証明書
以下の詳細を提供します。
連絡先
このアプリケーション用の連絡先を選択します。連絡先を作成または更新するには、新しい連絡先 または [編集] を選択するか、[連絡先管理] ページに移動します。
重要リクエストを受け取った後、CA は連絡先のメールアドレスに検証メールを送信します。CA は、審査内容の確認のために携帯電話番号を使用することもあります。連絡先情報が正確かつ有効であることを確認してください。
会社
この証明書の申請に使用する会社情報 (名前、電話番号、住所など) を選択します。会社情報を作成または変更するには、新会社 または [編集] をクリックするか、会社情報管理ページに移動します。
重要.gov ドメイン名の OV 証明書を申請する場合、WHOIS レコードの組織名は会社名と同一である必要があります。
ビジネスライセンス
会社 を選択すると、システムはその会社用にアップロードされた営業許可証イメージを自動的に識別します。会社プロファイルを作成したときに営業許可証をアップロードしなかった場合、このフィールドは Empty になります。CA による審査を迅速に行うには、会社の営業許可証をアップロードしてください。
暗号化アルゴリズム
証明書のキーアルゴリズムを選択します。
RSA (デフォルト): 非対称暗号化の業界標準です。レガシーブラウザやクライアントデバイスとの互換性が最も広範です。
ECC: 楕円曲線暗号です。RSA と比較して、より短い鍵長でより強力なセキュリティを提供します。処理が高速でサーバーリソースの消費が少なく、ほとんどの最新のブラウザでサポートされています。
重要ECC アルゴリズムは、特定の証明書ブランドとタイプでのみサポートされています。詳細については、「SSL 証明書選択ガイド」をご参照ください。
Csr生成方法
証明書署名リクエスト (CSR) には、ドメイン名、組織情報、公開鍵が含まれます。対応する秘密鍵を安全に保管する必要があります。
システム生成(推奨)
Alibaba Cloud は CSR と秘密鍵の両方を生成します。証明書が発行された後、コンソールから直接秘密鍵をダウンロードできます。
手動作成
OpenSSL や Keytool などのツールを使用して、手動で CSR と秘密鍵を生成します。秘密鍵を安全に保管し、次に CSR コンテンツを以下の Csrファイルの内容 フィールドにコピーします。詳細については、「CSR ファイルの作成方法」をご参照ください。
重要秘密鍵のセキュリティについては、お客様が単独で責任を負います。秘密鍵を紛失した場合、回復することはできず、証明書は使用できなくなります。新しいキーペアを生成し、証明書を再申請する必要があります。
CSR の暗号化アルゴリズムは、選択したキーアルゴリズムと一致する必要があります。
既存の CSR を選択
証明書サービス コンソールで以前に作成またはアップロードした CSR から、証明書バインディングドメイン名 と一致するものを選択します。 CSR の作成およびアップロードの手順については、「CSR を作成する」をご参照ください。
Csrファイルの内容
このパラメーターは、Csr生成方法 が 手動で入力する または 既存の CSR を選択 に設定されている場合にのみ必須です。ここに CSR ファイルのコンテンツを入力します。
次のステップ
シナリオ 1: 迅速な問題 を選択した場合。
システムがお客様の申請を CA に提出しました。ステータス 列の
アイコンにマウスオーバーし、表示されたツールチップで 進行状況の表示 をクリックすると、審査状況を追跡できます。その後、ドメイン名の所有権検証を完了してください。
シナリオ 2: 迅速な問題 を選択しなかった場合。
証明書は作成されますが、まだ CA に送信されていません。リストで証明書を特定します。 [ステータス] は [申請保留中] と表示されます。CA にリクエストを送信する必要があります。この申請および検証プロセスが完了して初めて、CA は証明書を発行します。
SSL 証明書の無料ドメイン
特定の条件を満たす証明書を購入すると、サイトの www 版と非 www 版の両方を保護するために、無料ドメインが自動的に含まれます。無料ルールは証明書のタイプとブランドによって異なります。
条件
GlobalSign
DV:ドメイン検証は DNS 検証である必要があります。
OV:特別な制限はありません。
EV:ドメインは APEX ドメインである必要があります。
DigiCert
DV:ドメイン検証は DNS 検証である必要があります。
OV、EV:ドメインは APEX ドメインである必要があります。
Alibaba Cloud
ドメインは www サブドメイン (例:www.aliyun.com) である必要があります。
このオファーは相互的ではありません。APEX ドメイン (例:aliyun.com) またはワイルドカードドメイン (例:*.aliyun.com) を保護しても、www サブドメインは含まれません。
無料ルール
シングルドメイン証明書:
一致する APEX ドメインまたは
wwwサブドメインが自動的に含まれます。証明書が
yourdomain.comの場合、www.yourdomain.comが無料で追加されます。証明書が
www.yourdomain.comの場合、yourdomain.comが無料で追加されます。
ワイルドカード証明書:
対応する APEX ドメインが自動的に含まれます。
証明書が
*.yourdomain.comの場合、yourdomain.comが無料で追加されます。
マルチドメイン証明書:
無料ドメインのオファーは、証明書リクエストに記載されている最初のドメインにのみ適用されます。
例:リクエストの最初のドメインが
www.domain-a.comの場合、システムは自動的に domain-a.com を無料で含めます。2 番目のドメインdomain-b.comには無料ドメインは追加されません。
よくある質問
クォータ不足により証明書を作成できない
原因 | ソリューション |
保留中の申請によってクォータがロックされている。 | コンソールで、証明書リストを [申請中] ステータスでフィルターします。使用する予定のない下書きの証明書については、[申請のキャンセル] をクリックします。これにより、関連付けられたクォータが直ちにアカウントにリリースされます。 重要 発行済みの証明書を取り消したり削除したりしても、元のクォータは返金または復元されません。 |
クォータがすべて使用されている。 | 既存のすべてのクォータが有効な証明書によって使用されており、キャンセルできる下書きがない場合は、公式証明書リソースを購入してから、証明書の作成を再試行してください。 |
中国語 (IDN) ドメイン名をバインドできますか?
はい。中国語ドメイン名を使用する場合、証明書をリクエストするには、コンソールのプロンプトに従って Punycode 形式に変換する必要があります。または、トランスコーディングツールを使用して変換を実行することもできます。詳細については、「中国語ドメイン名の変換」をご参照ください。