すべてのプロダクト
Search

このプロダクト

    Certificate Management Service:SSL 証明書の更新と有効期限

    ドキュメントセンター

    Certificate Management Service:SSL 証明書の更新と有効期限

    最終更新日:Nov 27, 2025

    SSL 証明書の有効期限切れによるサービス中断やセキュリティリスクを防ぐには、有効期間を監視し、期限が切れる前に更新する必要があります。このトピックでは、公式証明書、または アップロードされた証明書 証明書を更新して、サービスの継続性とセキュリティを確保する方法について説明します。

    証明書タイプの確認

    SSL 証明書管理 ページに移動します。証明書タイプのタブ (公式証明書、または アップロードされた証明書) を選択し、証明書タイプを確認してから、更新プランを選択します:

    • 公式証明書:詳細については、「有料証明書の更新」をご参照ください。この手順では、ステータスが まもなく期限切れ の有料証明書を更新できます。証明書が 期限切れ の場合は、新しい証明書を再購入して申請する必要があります。

    • アップロードされた証明書:「「アップロード済み証明書」の更新」をご参照ください。これは、「アップロードされた証明書」のステータスが まもなく期限切れ、または 期限切れ の場合に適用されます。

    有料証明書の更新

    更新プロセス

    SSL 証明書の更新とは、元の証明書の有効期間を延長するのではなく、新しい証明書を再発行することを意味します。新しい証明書が発行された後も、元の証明書は有効期限が切れるまで有効です。更新プロセスは次のとおりです:

    1. 更新情報の送信と支払いの完了:必要な更新情報を入力して送信し、支払いを完了します。

    2. 証明書リクエストの送信:新しい証明書リクエストを認証局 (CA) に送信します。ドメインの所有権を検証し、CA と協力して審査を完了する必要があります。

    3. 新しい証明書のデプロイと検証:新しく発行された証明書をサーバーまたはクラウドサービスにデプロイして、元の証明書を置き換えます。

    前提条件

    • 証明書ステータスまもなく期限切れ

    • 証明書タイプマルチドメイン証明書ではないこと。

    • 仕様変更:証明書の仕様 (ブランドやタイプなど) の変更は不要です。

    説明

    証明書が 期限切れマルチドメイン証明書である場合、または仕様の変更が必要な場合は、新しい証明書を購入し、作成、リクエスト、デプロイを完了する必要があります。詳細については、「SSL 証明書の使用フロー」をご参照ください。

    新しい証明書の有効期間の計算

    スムーズな移行を確保するため、更新および再発行された証明書は、元の証明書の残りの有効期間を最大 30 日間引き継ぎます。

    • 計算ルール

      • 新しい証明書の有効期間 = 標準有効期間 (12 ヶ月または 365 日) + 古い証明書の残り有効期間 (最大 30 日)

      • 有効期限:元の証明書の有効期限が切れる 30 日以内に更新と発行プロセスを完了した場合、新しい証明書の有効期限は固定されます (元の証明書の有効期限 + 365 日)。

    • シナリオ

      たとえば、2024-10-01 から 2025-09-30 まで有効な証明書を考えます。新しい証明書は、申請プロセスが開始された同日に発行されると仮定します。

      • 操作日時:2025-09-10 に更新リクエストを送信します。

      • 後続の操作:証明書リクエストを手動で送信する必要があります。

      • 新しい証明書の有効期間:12 か月 (365 日) + 20 日 (古い証明書の残りの有効期間) = 385 日です。

      • 新しい証明書の有効範囲:2025-09-10 から 2026-09-30 までです。

      説明

      マネージドサービスを介してシステムが証明書の申請プロセスを自動的に開始するには、以下の条件を満たす必要があります。条件が満たされない場合は、手動でリクエストを送信する必要があります。

      • DV 証明書の場合、ドメイン名に Alibaba Cloud DNS を利用している Alibaba Cloud アカウントが、証明書を購入したアカウントと同一であるか、ドメイン名で 検証不要の権限付与 が完了していること

      • CA によって、証明書の申請情報と資料が有効であると判断されること。

    手順 1: 更新情報の送信と支払いの完了

    1. SSL 証明書管理 ページに移動します。[公式証明書] タブで、更新したい証明書を見つけ、[操作] 列で [更新購入] をクリックします。

    2. [証明書更新料金] パネルで、次の情報を入力します。

      • Csr生成方法

        証明書署名リクエスト (CSR) は、認証局 (CA) に証明書をリクエストするために使用されるファイルです。これには、証明書のドメイン名、公開鍵、エンティティ情報が含まれ、秘密鍵で署名されます。[システム生成] を使用することを推奨します。

        システム生成

        システムは、元の証明書と同じキーアルゴリズムで新しいキーペアを生成し、安全にホストし、それを使用して新しい CSR を作成します。

        説明

        この方法は、キーローテーションのセキュリティベストプラクティスに従っています。

        手動入力

        独自の環境で生成された CSR ファイルを使用する場合は、ファイルの内容を [Csrファイルの内容] フィールドに貼り付けます。この方法で発行された証明書は、コンソールを介して Alibaba Cloud プロダクトにデプロイできません。CSR ファイルと秘密鍵ファイルの作成に関する詳細については、「CSR ファイルの作成」をご参照ください。

        重要

        • 手動で入力した CSR の暗号化アルゴリズムが、古い証明書の [キーアルゴリズム] と一致しない場合、証明書を審査に提出することはできません。

        • 秘密鍵ファイルは安全な場所に保管してください。Alibaba Cloud は秘密鍵の保管について責任を負いません。秘密鍵を紛失した場合は、新しい SSL 証明書を購入する必要があります。

        元のキーで更新

        元の証明書のキーペアを使用して新しい CSR ファイルを生成し、新しい証明書を発行します。

        重要

        この方法はキーローテーションのベストプラクティスに従っておらず、一部の業界のコンプライアンス要件を満たさない場合があります。

      • ドメイン名検証方法

        デフォルトでは、これは元の証明書の検証方法と同じです。

        DV 証明書

        プロセスは、証明書を購入したアカウントが DNS 解像度に使用されるアカウントと同じかどうかによって異なります。

        証明書とドメイン名 DNS が同じ Alibaba Cloud アカウント下にない場合

        • 手動dns検証 (推奨):ドメイン名解決サービスプラットフォームにログインし、TXT DNS レコードを追加します。

        • ファイル検証:Web サーバーにログインし、必要な検証ファイルを作成して指定されたフォルダにアップロードします。

          重要

          ワイルドカードドメイン名はファイル検証をサポートしていません。

        証明書とドメイン名 DNS が同じ Alibaba Cloud アカウント下にある場合

        システムは [自動dns検証] 方法を使用します。Alibaba Cloud は、Alibaba Cloud DNS コンソールで対応するドメイン名に DNS レコードを自動的に追加して、ドメインの所有権を検証します。手動操作は不要です。

        OV 証明書

        OV 証明書リクエストを送信した後、CA はドメイン所有権の検証手順を連絡先にメールまたは電話で送信します。連絡先は、ドメイン所有権を確認するために、要求どおりに検証を完了する必要があります。

        EV 証明書

        EV 証明書リクエストを送信した後、CA はドメイン所有権の検証手順を連絡先にメールまたは電話で送信します。連絡先は、ドメイン所有権を確認するために、要求どおりに検証を完了する必要があります。

      • 連絡先

        ドメイン検証方法に応じて、CA はこの連絡先に証明書検証メールを送信するか、携帯電話番号 を使用して審査について連絡する場合があります。連絡先情報が正確で有効であることを確認してください。

      • 更新期間

        1 年

        • 内容:同じ仕様の 1 年間の有効期間を持つ SSL 証明書 1 枚。

        • 申請プロセス:更新後、証明書リストから手動で証明書リクエストを送信する必要があります。

        2年

        • 内容:同じ仕様の 1 年間の有効期間を持つ SSL 証明書 2 枚と、マネージドサービス 1 回分の利用。

          説明

          マネージドサービスには、有効期限前の自動証明書リクエスト 、残りの有効期間の引き継ぎ (最大 30 日)、および専用のテクニカルサポートが含まれます。

        • 申請プロセス

          • 最初の証明書:更新後、証明書リストから手動で証明書リクエストを送信する必要があります。

          • 2 番目の証明書:最初の証明書の残り有効期間が 30 日以下になると、マネージドサービスが 1 回分自動的に消費され、2 番目の証明書の申請プロセスが開始されます。

          説明

          マネージドサービスを介してシステムが証明書申請プロセスを自動的に開始するには、以下の条件を満たす必要があります。そうでない場合は、手動でリクエストを送信する必要があります。

          • DV 証明書の場合、ドメイン名に Alibaba Cloud DNS を使用する Alibaba Cloud アカウントは、証明書を購入したアカウントと同じである必要があります、またはドメイン名で 検証不要の権限付与 が完了している必要があります

          • 証明書の申請情報と資料は、CA によって決定されたとおり有効であること。

        3年

        • 内容:同じ仕様の 1 年間の有効期間を持つ SSL 証明書 3 枚と、マネージドサービス 2 回分の利用。

          説明

          マネージドサービスには、有効期限前の自動証明書リクエスト 、残りの有効期間の引き継ぎ (最大 30 日)、および専用のテクニカルサポートが含まれます。

        • 申請プロセス

          • 最初の証明書:更新後、証明書リストから手動で証明書リクエストを送信する必要があります。

          • 後続の証明書:前の証明書の残り有効期間が 30 日以下になると、マネージドサービスが 1 回分自動的に消費され、新しい証明書の申請プロセスが開始されます。

          説明

          マネージドサービスを介してシステムが証明書申請プロセスを自動的に開始するには、以下の条件を満たす必要があります。そうでない場合は、手動でリクエストを送信する必要があります。

          • DV 証明書の場合、ドメイン名に Alibaba Cloud DNS を使用する Alibaba Cloud アカウントは、証明書を購入したアカウントと同じである必要があります、またはドメイン名で 検証不要の権限付与 が完了している必要があります

          • 証明書の申請情報と資料は、CA によって決定されたとおり有効であること。

    3. [即時更新] をクリックし、プロンプトに従って支払いを完了します。

      • 支払いルール:システムはまず、同じ仕様の残りの証明書クォータと残りのマネージドサービスの利用回数を使用してコストを相殺します。不足分は支払う必要があります。

      • 残りの証明書クォータとマネージドサービスの利用状況の表示SSL 証明書管理 ページに移動し、[公式証明書] タブで [証明書の作成] をクリックします。

        • 残りのマネージドサービス数:残りのマネージドサービスの数です。この値は、[] フィールドの [残りのマネージドサービスの数:] の横に表示されます。

        • 残りの証明書クォータ:[証明書タイプ] を選択した後、[証明書の仕様] ドロップダウンリストをクリックして、各仕様の残りの証明書クォータを表示できます。このクォータは「リクエスト可能な証明書の数」として表示されます。

    4. 更新が完了すると、更新期間ごとの証明書ステータスは次のようになります:

      1 年

      元の証明書の下に新しい証明書が生成されます。これは元の証明書に関連付けられ、左側に new アイコンでマークされ、ステータスは [保留中の申請] になります。元の証明書の有効期間は変更されません。

      2年

      元の証明書の下に、それに関連付けられた 2 つの新しい証明書が生成されます。新しい証明書には、関連付けを示すために左側に new アイコンがあります。元の証明書の有効期間は影響を受けません。

      • 最初の証明書のステータスは [保留中の申請] です。

      • 2 番目の証明書のステータスは [ない活性化] です。

        説明

        [ない活性化] の証明書をキャンセルすると、証明書とマネージドサービスのクォータが復元されます。これらのクォータを再利用するには、「SSL 証明書の作成」の手順に従ってください。

      3年

      元の証明書の下に、それに関連付けられた 3 つの新しい証明書が生成されます。新しい証明書には、関連付けを示すために左側に new アイコンがあります。元の証明書の有効期間は影響を受けません。

      • 最初の証明書のステータスは [保留中の申請] です。

      • 2 番目と 3 番目の証明書のステータスは [ない活性化] です。

        説明

        [ない活性化] の証明書をキャンセルすると、証明書とマネージドサービスのクォータが復元されます。これらのクォータを再利用するには、「SSL 証明書の作成」の手順に従ってください。

    ステップ 2:証明書リクエストの送信

    次のステップは、証明書のステータスによって異なります:

    ステップ 3:新しい証明書のデプロイと検証

    1. 証明書をデプロイします。

      • マネージドデプロイメントタスクのステータスを確認します。

        以前の証明書が Alibaba Cloud サービス (ALB、WAF、CDN、DDoS など) にデプロイされ、現在の証明書に対してマネージドデプロイメントタスクが自動的に作成された場合は、次の手順に従ってタスクの詳細を表示し、デプロイメント結果を確認します:

        • クラウドサービス向けマネージドデプロイメント ページに移動します。

        • [証明書リソース ID] 列で、証明書の [リソース ID] に対応するデプロイメントタスクを見つけます。この ID は、証明書リストの [証明書] 列にあります。

        • タスクの進捗状況やその他の詳細を表示するには、[操作] 列の [詳細] をクリックします。

        説明

        現在の証明書が発行された後、システムは クラウドサービス向けマネージドデプロイメント を介してデプロイします。デプロイが失敗した場合、システムは メールおよび内部メッセージで通知を送信します。

      • 宛先サーバーに手動でデプロイします。

        詳細については、「SSL 証明書のデプロイメントソリューションの選択」をご参照ください。新しい証明書を Web アプリケーションサーバまたはクラウドサービスにデプロイして、元の証明書を置き換えます。

    2. 証明書を検証します。

      1. Chrome などのブラウザで、アドレスバーに https://domain_name を入力してウェブサイトにアクセスします。

      2. image アイコンをクリックし、ポップアップパネルで [接続は安全です] > [証明書は有効です] をクリックします。

      3. 表示されるパネルで、[全般] > [有効期限] を確認します。日付が新しい証明書の有効期限と一致する場合、新しい証明書は正常にデプロイされています。

    「アップロード済み証明書」の更新

    SSL 証明書管理 ページの [アップロードされた証明書] タブで、対象の証明書を見つけ、その [ステータス] に基づいて操作を実行できます。

    説明

    [ステータス] が [PCA] (PCA プロダクトによって作成された SSL 証明書) の場合は、PCA 証明書を再発行してから SSL 証明書に同期します。

    まもなく期限切れ

    ステップ 1:証明書の購入

    重要

    証明書を購入して発行した後、発行日から始まる 12 ヶ月の有効期間を持つ新しい有料証明書を受け取ります。新しい証明書は、元の証明書の残りの有効期間を引き継ぎません。

    1. [操作] 列で、[証明書の更新] をクリックします。購入ページで、次の情報を入力します。

      • 証明書タイプ

        • シングルドメイン:プライマリドメイン名、サブドメイン、またはパブリック IP アドレス (IPv4) を保護します。例:aliyun.comabc.aliyun.com、または 1.1.X.X

        • ワイルドカード:1 つのプライマリドメイン名とそのすべての直下のサブドメインを保護します。たとえば、*.aliyun.com の証明書は a.aliyun.com を保護できますが、b.a.aliyun.com は保護できません。

        • マルチドメイン:最大 5 つのシングルドメイン名を保護します。ワイルドカードドメイン名はアタッチできません。

      • ブランド

        サポートされているブランドには、Alibaba Cloud、DigiCert、および GlobalSign があります。詳細については、「SSL 証明書選択ガイド」をご参照ください。

      • 証明書の仕様

        証明書タイプ

        シナリオ

        平均発行時間

        DV 証明書

        個人ウェブサイト、企業テスト環境

        1〜15 分。

        OV 証明書

        政府組織、中小企業、または教育機関

        5 暦日

        EV 証明書

        大企業、金融機関、およびトランザクションや個人データを扱う e コマースサイト

        5 暦日

      • サービス期間

        1 年

        • 内容:指定された仕様の有料 SSL 証明書 1 枚 (有効期間 1 年)。

        • 申請プロセス:購入後、証明書リストから手動で証明書リクエストを送信する必要があります。

        2年

        • 内容:指定された仕様の有料 SSL 証明書 2 枚 (各有効期間 1 年) と、マネージドサービス 1 回分の利用。

          説明

          マネージドサービスには、有効期限前の自動証明書リクエスト 、残りの有効期間の引き継ぎ (最大 30 日)、および専用のテクニカルサポートが含まれます。

        • 申請プロセス

          • 最初の証明書:購入後、証明書リストから手動で証明書リクエストを送信する必要があります。

          • 2 番目の証明書:最初の証明書の残り有効期間が 15 日以下になると、マネージドサービスが 1 回分自動的に消費され、2 番目の証明書の申請プロセスが開始されます。

          説明

          マネージドサービスを介してシステムが証明書申請プロセスを自動的に開始するには、以下の条件を満たす必要があります。そうでない場合は、手動でリクエストを送信する必要があります。

          • DV 証明書の場合、ドメイン名に Alibaba Cloud DNS を使用する Alibaba Cloud アカウントは、証明書を購入したアカウントと同じである必要があります、またはドメイン名で 検証不要の権限付与 が完了している必要があります

          • 証明書の申請情報と資料は、CA によって決定されたとおり有効であること。

        3年

        • 内容:指定された仕様の有料 SSL 証明書 3 枚 (各有効期間 1 年) と、マネージドサービス 2 回分の利用。

          説明

          マネージドサービスには、有効期限前の自動証明書リクエスト 、残りの有効期間の引き継ぎ (最大 30 日)、および専用のテクニカルサポートが含まれます。

        • 申請プロセス

          • 最初の証明書:購入後、証明書リストから手動で証明書リクエストを送信する必要があります。

          • 後続の証明書:前の証明書の残り有効期間が 15 日以下になると、マネージドサービスが 1 回分自動的に消費され、次の証明書の申請プロセスが開始されます。

          説明

          マネージドサービスを介してシステムが証明書申請プロセスを自動的に開始するには、以下の条件を満たす必要があります。そうでない場合は、手動でリクエストを送信する必要があります。

          • DV 証明書の場合、ドメイン名に Alibaba Cloud DNS を使用する Alibaba Cloud アカウントは、証明書を購入したアカウントと同じである必要があります、またはドメイン名で 検証不要の権限付与 が完了している必要があります

          • 証明書の申請情報と資料は、CA によって決定されたとおり有効であること。

    2. [今すぐ購入] をクリックし、画面の指示に従って支払いを完了します。

      • 支払いルール:システムはまず、同じ仕様の残りの証明書クォータと残りのマネージドサービスの利用回数を使用してコストを相殺します。不足分は支払う必要があります。

      • 残りの証明書クォータと利用可能なマネージドサービスの数を確認するには、 SSL 証明書管理 ページの [公式証明書] タブに移動し、[証明書の作成] をクリックします:

        • 残りのマネージドサービス数:これは、[] フィールドの [残りのマネージドサービスの数:] の値です。

        • 残りの証明書クォータ:[証明書タイプ] と [証明書の仕様] を選択すると、その仕様の残りのクォータが「リクエスト可能な証明書の数」として表示されます。

    3. 購入が完了すると、期間ごとの証明書ステータスは次のようになります:

      1 年

      元の証明書の下に新しい証明書が生成されます。これは元の証明書に関連付けられ、左側に new アイコンでマークされ、ステータスは [保留中の申請] になります。元の証明書の有効期間は変更されません。

      2年

      元の証明書の下に、それに関連付けられた 2 つの新しい証明書が生成されます。新しい証明書には、関連付けを示すために左側に new アイコンがあります。元の証明書の有効期間は影響を受けません。

      • 最初の証明書のステータスは [保留中の申請] です。

      • 2 番目の証明書のステータスは [ない活性化] です。

        説明

        [ない活性化] の証明書をキャンセルすると、証明書とマネージドサービスのクォータが復元されます。これらのクォータを再利用するには、「SSL 証明書の作成」の手順に従ってください。

      3年

      元の証明書の下に、それに関連付けられた 3 つの新しい証明書が生成されます。新しい証明書には、関連付けを示すために左側に new アイコンがあります。元の証明書の有効期間は影響を受けません。

      • 最初の証明書のステータスは [保留中の申請] です。

      • 2 番目と 3 番目の証明書のステータスは [ない活性化] です。

        説明

        [ない活性化] の証明書をキャンセルすると、証明書とマネージドサービスのクォータが復元されます。これらのクォータを再利用するには、「SSL 証明書の作成」の手順に従ってください。

    ステップ 2:証明書リクエストの送信

    次のステップは、証明書のステータスによって異なります:

    ステップ 3:新しい証明書のデプロイと検証

    1. 証明書をデプロイします。

      • マネージドデプロイメントタスクのステータスを確認します。

        以前の証明書が Alibaba Cloud サービス (ALB、WAF、CDN、DDoS など) にデプロイされ、現在の証明書に対してマネージドデプロイメントタスクが自動的に作成された場合は、次の手順に従ってタスクの詳細を表示し、デプロイメント結果を確認します:

        • クラウドサービス向けマネージドデプロイメント ページに移動します。

        • [証明書リソース ID] 列で、証明書の [リソース ID] に対応するデプロイメントタスクを見つけます。この ID は、証明書リストの [証明書] 列にあります。

        • タスクの進捗状況やその他の詳細を表示するには、[操作] 列の [詳細] をクリックします。

        説明

        現在の証明書が発行された後、システムは クラウドサービス向けマネージドデプロイメント を介してデプロイします。デプロイが失敗した場合、システムは メールおよび内部メッセージで通知を送信します。

      • 宛先サーバーに手動でデプロイします。

        詳細については、「SSL 証明書のデプロイメントソリューションの選択」をご参照ください。新しい証明書を Web アプリケーションサーバまたはクラウドサービスにデプロイして、元の証明書を置き換えます。

    2. 証明書を検証します。

      1. Chrome などのブラウザで、アドレスバーに https://ドメイン名 を入力してウェブサイトにアクセスします。

      2. image アイコンをクリックし、ポップアップパネルで [接続は安全です] > [証明書は有効です] をクリックします。

      3. 表示されるパネルで、[全般] > [有効期限] を確認します。日付が新しい証明書の有効期限と一致する場合、新しい証明書は正常にデプロイされています。

    期限切れ

    操作 > 購入証明書 をクリックし、「SSL 証明書の使用フロー」の指示に従って、証明書を購入、作成、リクエスト、デプロイします。

    重要

    証明書を購入して発行した後、発行日から始まる 12 ヶ月の有効期間を持つ新しい有料証明書を受け取ります。新しい証明書は、元の証明書の残りの有効期間を引き継ぎません。

    よくある質問

    更新の基本

    証明書の更新と新規購入の違いは何ですか?

    • 公式証明書

      主な違いは、更新された証明書は元の証明書の残りの有効期間を引き継ぐことができるのに対し、新規購入した証明書は引き継げない点です。

      • 証明書の更新: 更新によって発行された新しい証明書は、元の証明書の残りの有効期間を最大 30 日間引き継ぎ、スムーズな移行を保証します。詳細については、「新しい証明書の有効期間の計算」をご参照ください。

      • 直接購入:直接購入した証明書の有効期間は、発行日から始まり、元の証明書の残りの有効期間は引き継がれません。これにより、元の証明書の有効期間が無駄になる可能性があります。

    • または アップロードされた証明書

      これらの証明書タイプの場合、有効期間は新しい証明書の発行日から始まり、元の証明書の残りの有効期間は引き継がれません。主な違いは、新しい証明書を取得するための操作プロセスです。

      • 証明書の更新: 元の証明書の残り有効期間が 30 日以下になると、マネージドサービスが自動的に新しい証明書の申請プロセスを開始します。自動提出の条件が満たされない場合は、手動で提出する必要があります。

      • 直接購入: 証明書の有効期限を監視し、新しい証明書の購入とリクエストの全プロセスを手動で完了する必要があります。

    更新または購入した複数年 (例:2 年または 3 年) の証明書の有効期間が 1 年しかないのはなぜですか?

    • CA/Browser Forum の業界規制によると、公的に信頼される SSL 証明書の単一発行の最大有効期間は 397 日 (約 13 ヶ月) です。したがって、更新または購入した複数年の証明書は、複数の 1 年証明書とマネージドサービスの組み合わせです。

    • マネージドサービスを通じて、最初の 1 年証明書が期限切れに近づくと、システムは自動的に次の 1 年証明書をリクエストします。提出が失敗した場合は、手動で提出する必要があります。ドメインの所有権の検証 (必要な場合) と CA の審査に協力し、毎年新しい証明書を再デプロイするだけで済みます。

    更新操作の問題

    証明書リストに更新オプションが見つからないのはなぜですか?

    更新オプションの表示は、証明書のタイプとステータスによって異なります。以下の条件が満たされていることを確認してください:

    • 公式証明書:証明書のステータスが まもなく期限切れマルチドメイン証明書ではないこと。

    • アップロードされた証明書:証明書のステータスが [アップロード済み] であり、PCA 証明書ではないこと。

    なぜ更新は新規購入よりも高価なのですか?

    残り有効期間が 30 日以上ある場合に「証明書を事前に更新」すると、注文には自動的に「マネージドサービス」の料金が含まれます。このサービスは、残り有効期間が 30 日以下になったときに証明書リクエストを自動的に送信するために使用されます。送信が失敗した場合は、手動で送信する必要があります。

    説明

    マネージドサービスが不要な場合は、証明書の残り有効期間が 30 日以下になるまで更新を待つことができます。この場合、1 年間のサービス期間では、マネージドサービスの料金は請求されません。

    • リクエストと発行プロセスには十分な時間を確保してください。特に OV または EV 証明書は、手動レビューが必要で、発行に時間がかかる場合があります。

    • リクエストに時間がかかりすぎて、新しい証明書と元の証明書の有効期間が重複しない場合、ウェブサイトでサービス中断が発生する可能性があるため、常に事前に操作を行ってください。

    更新後、リストに同じ証明書レコードが 2 つあるのはなぜですか?

    更新時に選択した証明書サービス期間に応じて、元の証明書の下に 1 つ以上の新しい証明書が表示されます。それらは、元の証明書との関連付けを示すために左側に new アイコンが付いています。

    更新後のデプロイに関する問題

    証明書の更新と支払いが完了した後も、Web サイトに「証明書の有効期限が間近です」という警告が表示されるのはなぜですか。

    更新プロセスでは、全く新しい証明書が発行されます。詳細については、「SSL 証明書のデプロイソリューションの選択」をご参照ください。元の証明書を置き換えるには、新しい証明書を Web アプリケーションサーバーまたはクラウドサービスにデプロイする必要があります。

    新しい証明書を更新してデプロイした後も、Web サイトに「安全でない」または「証明書の有効期限切れ」という警告が表示されるのはなぜですか。

    次の項目を確認してください:

    1. 正しい証明書ファイルのデプロイの確認:元の証明書ファイルではなく、新しく発行された証明書ファイルがサーバーにデプロイされていることを確認してください。

    2. Web サービスの再起動の確認:Nginx、Apache、Tomcat、IIS などの Web サーバーで証明書ファイルを置き換えた後、新しい証明書を有効にするには、サービスを再起動または再読み込みする必要があります。

    3. ブラウザキャッシュのクリア:ブラウザが元の証明書のステータスをキャッシュしている可能性があります。ページの強制再読み込み (Ctrl+F5)ブラウザのキャッシュのクリア、またはシークレットモード/プライベートモードでのサイトへのアクセスを試してください。

    4. CDN や WAF などの中間サービスの確認:Web サイトが Content Delivery Network (CDN)、Web Application Firewall (WAF)、Global Accelerator (GA)、Server Load Balancer (SLB) などのサービスを使用している場合、これらのプロダクトのコンソールでも証明書を新しいものに更新する必要があります。そうしないと、ユーザーはこれらの中間プロダクト上の古い証明書に引き続きアクセスすることになります。

    5. 証明書チェーンの完全性の確認:Alibaba Cloud からダウンロードした証明書ファイルには、通常、完全な証明書チェーンが含まれています。ご自身で連結する場合は、サーバー証明書とすべての中間証明書が含まれていることを確認してください。

    期限切れ証明書の緊急対応

    証明書が期限切れになり、サービスが中断されました。サービスを迅速に復旧するための緊急手順は何ですか?

    期限切れの証明書が原因でサービス中断が発生した場合、この緊急手順に従って、迅速にサービスを復旧してください。後ほど、有料の証明書に置き換えることができます。

    1. 証明書の購入:一時的なソリューションとして、ドメイン認証 (DV) 証明書を直ちに購入します。DV 証明書は検証プロセスが簡単で、迅速に発行されます。

    2. 証明書の申請:検証ステップで、DNS 認証方式を選択します。これにより、通常 10 分以内にドメインの所有権の検証が完了します。

      説明

      証明書が発行されるのを待つ間に、置き換えの準備として、サーバー上の元の証明書の場所を確認しておきます。

    3. 証明書のデプロイ:新しい証明書が発行されたら、ウェブアプリケーションサーバー (Nginx や Apache など) またはクラウドサービスに直ちにデプロイして、新しい証明書を有効にします。

    4. 一時的な証明書の置き換え:DV 証明書はあくまで一時的なソリューションです。サービスが復旧したら、元の仕様 (OV や EV など) の証明書を申請し、できるだけ早く DV 証明書を置き換えてください。

    重要

    このような事態の再発を防ぐため、SSL 証明書のメッセージ通知を有効にし、事前に証明書を更新してください。また、マネージドサービスを購入することもできます。マネージドサービスは、証明書の有効期間が 30 日未満になると、自動的に証明書リクエストを提出します。