SSL 証明書の有効期限切れによるサービスの中断やセキュリティリスクを回避するため、証明書の残りの有効期間を監視し、有効期限が切れる前に更新してください。このトピックでは、公式証明書および アップロードされた証明書 証明書の更新方法について説明します。
このトピックで説明する商用証明書および個人テスト証明書の更新手順は、SSL 証明書管理 (V1.0 廃止) にのみ適用されます。この機能は、SSL 証明書管理 V2.0 ではまだ利用できません。今後の製品アップデートにご期待ください。
証明書タイプの確認
SSL 証明書管理 (V1.0 提供終了) コンソールに移動します。証明書が表示されているタブ (公式証明書 または アップロードされた証明書) に基づいて証明書の種類を特定し、対応する更新手順に従います。
[公式証明書]: 「商用証明書を更新する」をご参照ください。これは、ステータスが まもなく期限切れ (有効期限の 15 日以内) の商用証明書に適用されます。証明書が 期限切れ の場合、新しい証明書を購入する必要があります。
[アップロードされた証明書]:「アップロード済み証明書を更新する」をご参照ください。
商用証明書の更新
2026 年 2 月 25 日以降、SSL Certificate Management (V1.0 Discontinued) の証明書の更新オプションは、有効期限が切れる 15 日前からのみ利用可能になります。有効期限が 15 日を超えて残っている証明書には、更新オプションはありません。詳細については、「SSL 証明書の有効期間の変更に関する通知」をご参照ください。
更新プロセス
SSL 証明書を更新すると、古い証明書の有効期間を延長するのではなく、新しい証明書が発行されます。新しい証明書が発行された後も、古い証明書は有効期限が切れるまで有効です。更新プロセスは次のとおりです。
更新情報の送信と支払いの完了:更新フォームに記入し、支払いを完了します。
証明書リクエストの送信:認証局 (CA) に新しい証明書リクエストを送信します。ドメイン所有権の検証と CA のレビュープロセスを完了します。
新しい証明書のデプロイと検証:新しく発行された証明書をターゲットサーバーまたはクラウドサービスにデプロイし、古い証明書を置き換えます。
前提条件
証明書ステータス: 証明書の状態はまもなく期限切れです。
証明書タイプ:証明書がマルチドメイン証明書ではないこと。
仕様変更:ブランドやタイプなどの証明書仕様を変更する必要がないこと。
証明書が期限切れの場合、マルチドメイン証明書の場合、または仕様の変更が必要な場合は、新しい商用証明書を購入し、新しい証明書を作成、申請、デプロイする必要があります。
新しい証明書の有効期間の計算
スムーズな移行のため、更新された証明書は、古い証明書の残りの有効期間を最大 15 日間引き継ぎます。
計算ルール
計算式:
新しい証明書の有効期間 = 標準の有効期間 (180 日) + 古い証明書の残りの有効期間 (最大 15 日)。有効期限:古い証明書の有効期限が切れる 15 日以内に更新と発行を完了した場合、新しい証明書は古い証明書の有効期限の 180 日後に失効します。
例
古い証明書が 2025 年 10 月 1 日から 2026 年 9 月 30 日まで有効であると仮定します。簡単にするため、新しい証明書は申請が提出されたのと同じ日に発行されるものとします。
実行日:2026 年 9 月 20 日に更新リクエストと証明書申請を提出します。
新しい証明書の有効期間:6 か月 (180 日) + 10 日 (古い証明書の残りの有効期間) = 190 日。
新しい証明書の有効期間:2026 年 9 月 20 日~2027 年 3 月 29 日。
説明以下の条件を満たす場合、マネージドサービスは自動的に証明書申請を開始します。そうでない場合は、手動で申請を送信する必要があります。
DV 証明書の場合、ドメイン名に Alibaba Cloud DNS を使用する Alibaba Cloud アカウントが、証明書を購入したアカウントと同じであるか、またはドメイン名に 検証不要の権限付与 が設定されている必要があります。
CA によって検証された証明書申請情報と資料が有効であること。
ステップ 1:更新の申請と支払い
[SSL 証明書管理 (V1.0 提供終了)] ページに移動します。公式証明書 タブで、対象の証明書を見つけ、操作 列の更新購入をクリックします。
証明書更新料金 パネルで、次のパラメーターを設定します。
[Csr生成方法]:
証明書署名要求 (CSR) は、証明書を要求するために CA に提出するファイルです。これにはドメイン名、公開キー、サブジェクト情報が含まれており、お客様のプライベートキーで署名されています。システム生成 を選択することをお勧めします。
自動
システムは、古い証明書と同じアルゴリズムで新しいキーペアを生成し、安全にホストして、新しい CSR の作成に使用します。
説明このオプションは、キーローテーションのセキュリティベストプラクティスに従っています。
手動入力
独自の環境で生成された CSR ファイルを使用するには、ファイルの内容を Csrファイルの内容 フィールドに貼り付けます。このオプションで発行された証明書は、コンソール経由で Alibaba Cloud サービスにデプロイできません。CSR ファイルと秘密鍵ファイルの作成方法については、「CSR ファイルの作成」をご参照ください。
重要手動で入力した CSR の暗号化アルゴリズムが、古い証明書の 暗号化アルゴリズム と一致することを確認してください。一致しない場合、証明書を審査に提出することはできません。
秘密鍵ファイルは安全に保管してください。 Alibaba Cloud はお客様の秘密鍵を保存しません。秘密鍵を紛失した場合は、新しい SSL 証明書を購入する必要があります。
元のキーで更新
古い証明書のキーペアを再利用して、新しい CSR を生成し、新しい証明書を発行します。
重要このオプションは、キーローテーションのベストプラクティスに従っておらず、一部の業界ではコンプライアンス要件を満たさない可能性があります。
[ドメイン名検証方法]:
デフォルトでは、古い証明書に使用されたのと同じ検証方法が使用されます。
[連絡先]:
ドメイン検証方法によっては、CA はこの連絡先に証明書検証メッセージをメールで送信するか、電話で連絡することがあります 。連絡先情報が正確で最新であることを確認してください。
[更新期間]:
これは購入する証明書サービスの期間であり、発行される個々の証明書の有効期間とは異なります。購入したサービス期間をカバーするために、複数の証明書が必要になる場合があります。サービス期間内に発行される各証明書の有効期間は、証明書ブランドのポリシーに従います。詳細については、「SSL 証明書の有効期間の変更に関する通知」をご参照ください。
即時更新 をクリックし、画面の指示に従って支払いを完了します。
支払いルール:システムはまず、残りの証明書クォータ (このリクエストの仕様と一致) とマネージドサービスの使用量を適用してコストを相殺します。不足分のみお支払いいただきます。
証明書の残りのクォータとマネージドサービスの使用状況の表示: 公式証明書 タブで、証明書の作成 をクリックします。
マネージドサービスの残りのクォータ: 年 フィールドを探します。「残りのマネージドサービスの数:」の後に表示される数値が、現在の残りのクォータです。
証明書の残りクォータ:証明書タイプを選択し、証明書の仕様ドロップダウンリストをクリックすると、「利用可能な証明書数」に各仕様の残りクータが表示されます。
更新後、1 つ以上の新しい証明書が古い証明書の下に表示されます。新しい証明書の数は、1 つの証明書の有効期間によって異なります。詳細については、「SSL 証明書の有効期間の変更に関する通知」をご参照ください。新しい証明書は古い証明書に関連付けられており、左側の
アイコンで示されます。古い証明書の有効期間は変更されません。最初の新しい証明書のステータスは 保留中の申請 で、残りの証明書のステータスは ない活性化 です。説明以下の条件を満たす場合、マネージドサービスは自動的に証明書申請を開始します。そうでない場合は、手動で申請を送信する必要があります。
DV 証明書の場合、ドメイン名に Alibaba Cloud DNS を使用する Alibaba Cloud アカウントが、証明書を購入したアカウントと同じであるか、またはドメイン名に 検証不要の権限付与 が設定されている必要があります。
CA によって検証された証明書申請情報と資料が有効であること。
ステップ 2:証明書申請の提出
更新が完了したら、認証局 (CA) にリクエストを送信し、ドメイン所有権の検証を完了します。
ステップ 3:新しい証明書のデプロイと検証
証明書をデプロイします。
新しい証明書を Web サーバーまたはクラウドサービスにデプロイして古い証明書を置き換えるには、「SSL 証明書のデプロイソリューションの選択」をご参照ください。
証明書を検証します。
Chrome などのブラウザーで、
https://<your domain name>にアクセスします。
アイコンをクリックし、[接続は保護されています] > [証明書は有効です] をクリックします。証明書の詳細ダイアログの [詳細] タブで有効期限を確認します。日付が新しい証明書の有効期限と一致する場合、デプロイは成功しています。
アップロード済み証明書の更新
アップロードされた証明書は、SSL 証明書管理 V2.0 で管理する必要があります。更新は、新しい商用証明書の購入と同等です。新しい証明書の有効期間は発行日から開始され、古い証明書の残りの有効期間は引き継がれません。
証明書の更新 ボタンは、ステータス が まもなく期限切れ で、かつ証明書が PCA 証明書ではない場合にのみ、操作 列に表示されます。
ステータス が PCA(PCA サービスによって作成された SSL 証明書)の場合、新しい PCA 証明書を発行して SSL 証明書管理に同期する必要があります。
ステップ 1:更新の申請と支払い
SSL Certificate Management V2.0 ページの アップロードされた証明書 タブで、証明書を見つけます。
操作 列で、証明書の更新 をクリックして購入ページに移動します。
商用証明書の購入と同じプロセスに従います。詳細については、「商用証明書の購入」をご参照ください。
ステップ 2:証明書申請の提出
更新が完了したら、認証局 (CA) にリクエストを送信し、ドメイン所有権の検証を完了します。
ステップ 3:新しい証明書のデプロイと検証
証明書をデプロイします。
新しい証明書を Web サーバーまたはクラウドサービスにデプロイして古い証明書を置き換えるには、「SSL 証明書のデプロイソリューションの選択」をご参照ください。
証明書を検証します。
Chrome などのブラウザーで、
https://<your domain name>にアクセスします。
アイコンをクリックし、[接続は保護されています] > [証明書は有効です] をクリックします。証明書の詳細ダイアログの [詳細] タブで有効期限を確認します。日付が新しい証明書の有効期限と一致する場合、デプロイは成功しています。
よくある質問
更新の基本
更新と直接購入の違い
[公式証明書]
主な違いは、新しい証明書が古い証明書の残りの有効期間を引き継ぐかどうかです。
証明書の更新:更新された証明書は、スムーズな移行のために古い証明書の残りの有効期間を引き継ぎます。詳細については、「新しい証明書の有効期間の計算」をご参照ください。
直接購入:直接購入した証明書の有効期間は発行日から始まり、古い証明書の残りの有効期間は含まれません。古い証明書の未使用の有効期間は失われます。
[アップロードされた証明書]
更新と直接購入のどちらの場合も、新しい証明書の有効期間は発行日から始まり、古い証明書の残りの有効期間は含まれません。主な違いは、新しい証明書を取得するためのコンソールのワークフローです。
複数年証明書の有効期間
CA/Browser Forum の業界規制によると、公的に信頼される単一の SSL 証明書の最大有効期間は 397 日です。2026 年 2 月 25 日以降、この上限は 200 日に変更されます。詳細については、「SSL 証明書の有効期間の変更に関する通知」をご参照ください。したがって、複数年の証明書の購入または更新は、複数の証明書とマネージドサービスを組み合わせたパッケージです。
マネージドサービスは、現在の証明書の有効期限が切れる前に、次の証明書を自動的にリクエストします。自動送信が失敗した場合は、手動で送信する必要があります。ドメイン所有権の検証 (必要な場合) を完了し、CA のレビューに合格し、新しい証明書を再デプロイするだけで済みます。
更新プロセスの問題
更新オプションが表示されない
SSL Certificate Management (V1.0 Discontinued) の証明書の更新オプションは、証明書の有効期限が 15 日以内の場合にのみ表示されます。有効期限が 15 日を超えて残っている証明書には、更新オプションは表示されません。
更新後の証明書レコードの重複
更新時に選択した証明書サービス期間に基づき、古い証明書の下に 1 つ以上の新しい証明書が表示されます。左側の
アイコンは、それらが古い証明書にリンクされていることを示します。
更新後のデプロイに関する問題
更新後も「証明書の有効期限がまもなく切れます」という警告が表示される
更新は複数のステップからなるプロセスです。支払い後、新しい証明書が発行されるように申請を完了させる必要があります。手順については、「認証局 (CA) へのリクエストの送信」をご参照ください。発行されたら、Web サーバーまたはクラウドサービスに新しい証明書をデプロイして、古い証明書を置き換えます。デプロイ手順については、「SSL 証明書のデプロイソリューションの選択」をご参照ください。
更新後に「安全でない」または「証明書の有効期限が切れました」という警告が表示される
次の手順でトラブルシューティングを行ってください。
デプロイされた証明書ファイルの確認:古い証明書ファイルではなく、新しく発行された証明書ファイルがサーバーにデプロイされていることを確認してください。
Web サービスの再起動:Nginx、Apache、Tomcat、IIS などの Web サーバーで証明書ファイルを置き換えた後、新しい証明書を有効にするには、サービスを再起動またはリロードする必要があります。
ブラウザーキャッシュのクリア:ブラウザーが古い証明書をキャッシュしている可能性があります。ページの強制再読み込み (Ctrl+F5)、ブラウザーキャッシュのクリア、またはシークレットモードまたはプライベートモードでサイトにアクセスしてみてください。
中間サービスでの証明書の更新:Content Delivery Network (CDN)、Web アプリケーションファイアウォール (WAF)、Global Accelerator (GA)、または Server Load Balancer (SLB) を使用している場合は、これらの各サービスのコンソールでも証明書を更新する必要があります。そうしないと、古くて有効期限が切れた証明書が引き続き提供されます。
証明書チェーンが完全であることの確認:Alibaba Cloud からダウンロードした証明書ファイルには、通常、完全な証明書チェーンが含まれています。手動で組み立てる場合は、サーバー証明書とすべての中間証明書を含めてください。
有効期限切れ証明書の緊急手順
有効期限切れ証明書の緊急手順
有効期限切れの証明書がサービス中断を引き起こした場合、この緊急手順に従って迅速にサービスを復旧してください。後で、一時的な証明書を目的の商用証明書に置き換えることができます。
証明書の購入:一時的な対策として、すぐに DV 証明書を購入します。DV 証明書は検証プロセスが簡単で、迅速に発行されます。
証明書の申請:DNS 検証を選択して、ドメイン所有権を迅速に (多くの場合 10 分以内に) 検証します。
説明証明書が発行されるのを待っている間に、サーバー上の古い証明書の場所を特定し、置き換えの準備を整えてください。
証明書のデプロイ:新しい証明書が発行されたら、すぐに Web サーバー (Nginx や Apache など) またはクラウドサービスにデプロイします。
商用証明書への置き換え:DV 証明書はあくまで一時的な措置です。サービスが復旧したら、元の仕様 (OV や EV など) の証明書を申請し、できるだけ早く DV 証明書を置き換えてください。
再発を防ぐため、SSL 証明書メッセージ通知を有効にし、有効期限が切れる前に証明書を更新してください。また、マネージドサービス を購入することもできます。マネージドサービスは、証明書の有効期限が切れる 30 日前に自動的に更新リクエストを送信します。