証明書管理サービスは、民間認証局 (PCA) をサポートしています。 PCAを使用すると、企業用のプライベート認証局 (CA) を低コストで作成できます。 このようにして、公開鍵インフラストラクチャ (PKI) を作成または維持する必要はありません。 このトピックでは、Certificate Management ServiceコンソールでプライベートCAを作成する方法について説明します。 プライベートCAを作成すると、PCAは自動的に有効になります。

このタスクについて

プライベートCAは、プライベートルートCAとプライベート中間CAとに分類される。 プライベート中間CAは、プライベートルートCAに従属する。 プライベートルートCAは、1つまたは複数のプライベート中間CAを含み得る。 サーバー証明書やクライアント証明書などのプライベート証明書を発行できるのは、プライベート中間CAのみです。

初めてプライベートCAを作成する場合は、まずプライベートルートCAを作成する必要があります。 プライベートルートCAを作成すると、1つのプライベートルートCAと1つのプライベート中間CAを取得できます。 デフォルトでは、プライベート中間CAには10のプライベート証明書を発行するクォータがあります。

企業の組織構造に基づいて、既存のプライベートルートCAに対してより多くのプライベート中間CAを作成できます。 たとえば、プライベートルートCAを使用して、企業のさまざまな部門用のプライベート中間CAを作成できます。 プライベート証明書のクォータを購入して、既存のプライベート中間CAを使用してより多くのプライベート証明書を発行することもできます。

プライベートルートCAの作成

初めてプライベートCAを作成する場合は、次の操作を実行して、最初にプライベートルートCAを作成します。

  1. [プライベート証明書] ページの左上隅で、[プライベートルートCAの購入] をクリックします。
  2. [プライベートルートCAの購入] パネルで、パラメーターを設定します。 プライベートルートCAを購入
    下表にパラメーターを示します。
    パラメーター 説明
    商品モジュール PCAサービスが自動的に選択されます。 このオプションを使用すると、企業が証明書を維持および管理するためのプライベートCAを作成できます。
    PCA使用量 [内部コンプライアンス] が自動的に選択されます。 PCAは、個人認証とアプリケーションデータの安全な送信を実装するために、企業の内部システム間の暗号化された通信を必要とする企業に適しています。 内部システムには、OA (office automation) およびHR (human Resource) システムが含まれる。 PCAは、規制要件または業界仕様を満たすために使用されません。
    商品仕様 ルートCAの作成が自動的に選択されます。
    証明書アルゴリズム プライベートCAを使用して証明書を発行するときに使用されるアルゴリズムの種類。

    有効な値: RSASM (Chinese Cryptographic Algorithm) 、およびECC
    サブスクリプション期間 プライベートCAのサブスクリプション期間。 最小値は1か月です。
    • プライベートCAを使用して、プライベートCAのサブスクリプション期間内にプライベート証明書を発行できます。 プライベートCAの有効期限が切れると、プライベート証明書を発行するクォータが使い果たされていなくても、プライベートCAを使用してプライベート証明書を発行することはできなくなります。
    • プライベートCAによって発行されたプライベート証明書の有効期間は、プライベートCAのサブスクリプション期間を超えることはできません。 たとえば、サブスクリプション期間を1か月に設定した場合、プライベートCAによって発行されたプライベート証明書の有効期間は30日を超えることはできません。
  3. [今すぐ購入] をクリックします。
  4. 注文を確認し、支払いを完了します。
    支払いが完了すると、のプライベート証明書ページで新しく作成されたプライベートCAを表示できます。 プライベートルートCAを作成すると、1つのプライベートルートCAと1つのプライベート中間CAを取得できます。 デフォルトでは、プライベートルートCAとプライベート中間CAの両方が無効状態になります。 プライベートCA

次の手順

プライベートCAを作成した後、プライベートCAを使用してプライベート証明書を発行する前に、プライベートCAを有効にする必要があります。 プライベートCAを有効にする方法の詳細については、「プライベートCAの有効化」をご参照ください。

関連する API

  • プライベート中間CAの作成: プライベートルートCAを作成して有効にすると、プライベートルートCA用に複数のプライベート中間CAを作成できます。
    • デフォルトでは、既存のプライベートルートCA用に作成されたプライベート中間CAには、プライベート証明書を発行するクォータがありません。 このプライベート中間CAを使用してプライベート証明書を発行することはできません。 既存のプライベートルートCAのプライベート中間CAを作成した後、プライベート中間CAを使用してプライベート証明書を発行する前に、必要なクォータを購入する必要があります。
    • 既存のプライベートルートCAのプライベート中間CAを作成すると、プライベート中間CAのCertificate Algorithmパラメーターの値が自動的にプライベートルートCAの値に設定され、変更することはできません。
    手順: プライベートCAリストで、[有効] 状態のプライベートルートCAを見つけ、[操作] 列で [CAの作成] をクリックします。 表示されたページで、パラメータを設定し、プロンプトに従って支払いを完了します。 プライベートCAの作成
  • プライベート証明書を発行するクォータの購入: 既存のプライベートルートCAに必要な数のプライベート証明書を発行するのに十分なクォータがない場合は、追加のクォータを購入できます。 これにより、プライベートルートCAのプライベート証明書を発行するクォータが増加します。
    手順: プライベートCAリストで、プライベート証明書を発行するクォータを購入するプライベートルートCAを見つけ、[操作] 列の [証明書の購入] をクリックします。 [証明書の購入] パネルで、ビジネス要件に基づいて証明書の数を入力し、[購入] をクリックして支払いを完了します。 購入証明書
    プライベートルートCA用に購入したクォータがしきい値を超えた場合、発行された超過証明書に対しては課金されません。 しきい値の詳細については、サポートのためにDingTalkグループ番号付き32435999に参加してください。
  • 証明書の割り当て: プライベート証明書を発行するクォータを購入した後、プライベートルートCAの異なるプライベート中間CAにクォータを割り当てることができます。
    プライベート証明書は、プライベートルートCAとプライベート中間CAが次の条件を満たす場合にのみ割り当てられます。
    • プライベートルートCAは有効状態です。
    • プライベートルートCAの残りのクォータは0ではありません。
    • プライベート中間CAは有効状態である。
    手順: プライベートCAリストで、プライベート証明書のクォータを割り当てるプライベートルートCAを見つけ、[残りの証明書クォータ /合計] 列の [証明書の割り当て] をクリックします。 [証明書の割り当て] パネルで、クォータを割り当てるプライベート中間CAを選択し、プライベート中間CAの残りのクォータを指定して、[OK] をクリックします。 証明書パネルの割り当て
  • 払い戻しをリクエスト: 無効状態のプライベートCAの払い戻しをリクエストできます。 プライベートCAが有効になっている場合、払い戻しをリクエストすることはできません。
  • プライベートCAを更新する: プライベートCAの有効期限が切れると、プライベートCAを使用してプライベート証明書を発行することはできません。 プライベートCAを更新して使用し続けることができます。