Certificate Management Service:サードパーティのクラウドプラットフォームへの証明書のデプロイ — マルチクラウドデプロイメント

ステップ 1: デプロイメントクォータの購入

• デプロイメントクォータが不足している場合は、デプロイメントクォータパッケージを購入できます。。

• タイプが アップロードされた証明書 以外の証明書、または同じ検証済みの個人または企業が所有する Alibaba Cloud アカウント間で共有される証明書の場合、デプロイメントクォータは消費されません。デプロイメントが失敗した場合、消費されたクォータは返還されます。

ステップ 2: サードパーティのクラウドアカウントへの接続

SSL 証明書をサードパーティのクラウドプロダクトにデプロイする前に、サードパーティのクラウドプラットフォーム上のサブユーザーに必要なアクセス権限を付与し、そのサブユーザーの AccessKey ペアを Alibaba Cloud に追加する必要があります。次の手順でその方法を説明します:

1. 証明書サービスコンソールにログインします。

2. 左側のナビゲーションウィンドウで、Comprehensive Management > [マルチクラウド AK 管理] を選択します。

3. マルチクラウド AK 管理 ページで、認証の追加 をクリックします。

4. ターゲットのクラウド サービス プロバイダー (CSP) をクリックし、画面の指示に従ってそのプロバイダーのユーザーアカウントを設定します。

   以下の手順は、Tencent Cloud のサブユーザーを承認する方法の例です。手順は参考用です。

   1. Tencent Cloud コンソールにログインし、ユーザーリストに移動して、[ユーザーの作成] をクリックします。

   2. [ユーザーの作成] ページで、[クイック作成] をクリックします。

   3. [クイックユーザー作成] ページで、ユーザー情報を設定します。

      

      • ユーザー名: カスタムユーザー名を入力します。

      • アクセスモード: アイコンをクリックして、[プログラムによるアクセス] を選択します。

      • ユーザー権限: アイコンをクリックします。[QcloudSSLFullAccess] (SSL 証明書に対する完全な読み取り/書き込み権限) と、対応するクラウドプロダクトの読み取り/書き込み権限を選択します。

        説明

        たとえば、Alibaba Cloud 証明書を Tencent Cloud CDN にデプロイするには、QcloudCDNFullAccess 権限 (コンテンツ配信ネットワークに対する完全な読み取り/書き込み権限) を付与する必要があります。

      次の図は、正常に作成されたユーザーの例を示しています:

      

   4. Alibaba Cloud デジタル証明書管理サービスコンソールの [AK の送信] ウィザードで、Tencent Cloud のサブユーザーまたはメインアカウントを設定し、[OK] をクリックします。

ステップ 3: SSL 証明書をサードパーティのクラウドプロダクトにデプロイする

1. 左側のナビゲーションウィンドウで、Deployment and Resource Management > [マルチクラウドデプロイメント] を選択します。

2. マルチクラウドデプロイメント ページで、タスクの作成 をクリックし、手順に従って Alibaba Cloud SSL 証明書をサードパーティのクラウドプロダクトにデプロイします。

   1. 基本設定 ウィザードページで、タスク名を入力し、AccessKey ペア、連絡先、デプロイメント時間を選択します。次に、次へ をクリックします。

      設定項目	説明
      タスク名	デプロイメントタスクのカスタム名を入力します。
      AK の選択	ステップ 2 で接続したサードパーティクラウドのアカウントを選択します。利用可能な AccessKey ペアがない場合は、新しい AK の追加 をクリックし、「制限事項」の指示に従って AccessKey ペアを設定します。
      連絡先	デプロイメントタスクの通知を受け取る連絡先を選択します。最大 10 件の連絡先を追加できます。
      デプロイ時間	今すぐデプロイ: 証明書をクラウドプロダクトにすぐにデプロイします。 カスタム時刻: デプロイメントタスクを実行する時間を指定します。システムは指定された時間にタスクを開始します。

   2. [証明書の選択] ウィザードで、クラウドプロダクトリソース用の 1 つ以上の SSL 証明書を選択し、次へ をクリックします。

      • プライベート CA サービスによって発行された証明書は、アップロードされた証明書の管理 タブに同期され、選択できます。

      • デプロイメントタスクでは、1 種類の証明書のみを選択できます。

   3. リソースの選択 ウィザードページで、システムは関連するクラウドプロダクトからすべてのリソースを自動的に検出してプルします。1 つ以上のクラウドプロダクトとリソースを選択できます。次に、プレビューして送信する をクリックします。

   4. タスクのプレビュー ページで、デプロイする証明書インスタンスとクラウドプロダクトリソースを確認します。詳細が正しい場合は、送信 をクリックします。

      プレビューページには、クラウドプロダクトに一致する証明書の数と、消費されるデプロイメントクォータの数が表示されます。

      • 一致する証明書の数が 0 の場合、選択した証明書がクラウドプロダクトリソースと一致しないため、デプロイメントは失敗します。この場合は、選択した証明書を注意深く確認してください。

      • 消費されるデプロイメントクォータの数は、アップロードされた証明書に一致するリソースの数に基づきます。一致が見つかってもタスク開始後にデプロイメントが失敗した場合、そのリソースに対して消費されたクォータは返還されます。

ステップ 4: SSL 証明書のインストールの確認

インストールまたは更新後、証明書が機能しない、または HTTPS にアクセスできないのはなぜですか?

この問題は、いくつかの理由で発生する可能性があります:

• アクセスされたドメイン名が証明書の ドメイン名のバインド に含まれていません。詳細については、「証明書がターゲットドメイン名と一致するかどうかを確認する」をご参照ください。

• 証明書ファイルが正しく置き換えられていません。証明書ファイルが最新で有効なバージョンであるかどうかを確認してください。

• 他のサービスでの証明書の欠落: ドメインがコンテンツ配信ネットワーク (CDN)、Server Load Balancer (SLB)、Web Application Firewall (WAF) などのサービスを使用している場合、証明書はそれらのサービスにもインストールする必要があります。「トラフィックが複数の Alibaba Cloud サービスを通過する場合の証明書のデプロイ場所」を参照して設定を完了してください。

• 複数のサーバーへの不完全なデプロイメント: ドメインの DNS が複数のサーバーに解決される場合、証明書はそれらすべてにインストールする必要があります。

異なる Alibaba Cloud アカウント間で SSL 証明書を Alibaba Cloud サービスにデプロイできますか?

Alibaba Cloud SSL 証明書をアカウント間で直接デプロイすることはできません。

• 複数のアカウントが同じ ID 検証エンティティに属している場合、証明書共有機能を使用してアカウント間で証明書を無料でデプロイできます。詳細については、「SSL 証明書のアップロード、同期、共有」をご参照ください。

• アカウントが異なる ID 検証済みエンティティに属している場合、ソースアカウントから証明書をダウンロードし、宛先アカウントで手動でアップロードしてデプロイする必要があります。

証明書がデプロイされた場合、Alibaba Cloud サービスで HTTPS は自動的に有効になりますか?

Certificate Management Service コンソールから Alibaba Cloud サービスに証明書をデプロイした後、証明書は対応するサービスにプッシュされるだけです。デプロイメントを確認するには、そのサービスのコンソールに移動する必要があります。