Certificate Management Service:SSL 証明書を更新する

Web サイトの安全なデータ転送を確保するために、残りの有効期間が 30 日以下の証明書を更新してください。

1. 証明書サービスコンソールにログインします。

2. 左側のナビゲーションウィンドウで、[証明書管理] > [SSL 証明書] を選択します。

3. SSL 証明書管理 ページで、公式証明書 タブをクリックします。ステータスが まもなく期限切れ の証明書を見つけ、操作 列の 更新購入 をクリックします。

4. 証明書更新料金 パネルで、証明書署名リクエスト (CSR) の生成方法、ドメイン検証方法、更新期間などのリクエスト詳細を確認します。次に、即時更新 をクリックします。

   • Csr生成方法:

     CSR の生成方法を選択します。これにより、秘密鍵が作成される場所が決まります。CSR は、証明書を申請するために認証局 (CA) に送信される正式なリクエストです。これには、保護するドメイン、公開鍵、組織の詳細などの情報が含まれ、秘密鍵で署名されます。

     システム生成 (デフォルト)

     システムは新しいキーペア (古い証明書と同じアルゴリズムを使用) を生成して安全にホストし、新しい CSR を作成します。

     説明

     このメソッドは、キーローテーションのセキュリティに関するベストプラクティスに準拠しています。

     手動で入力する

     独自の環境で生成された CSR ファイルを使用します。ファイルの内容を Csrファイルの内容 フィールドに貼り付けます。このメソッドを使用して発行された証明書は、コンソールを介して Alibaba Cloud サービスにデプロイできません。CSR ファイルと秘密鍵ファイルの作成方法の詳細については、「CSR ファイルの作成」をご参照ください。

     重要

     • 提供する CSR が、古い証明書のキーアルゴリズムと同じ暗号化アルゴリズムを使用していることを確認してください。そうしないと、申請は失敗します。

     • 秘密鍵ファイルを安全に保管してください。Alibaba Cloud は秘密鍵の保管に責任を負いません。秘密鍵を紛失した場合は、新しい SSL 証明書を購入してください。

     オリジナルキーの更新

     元の証明書のキーペアを使用して、新しい CSR ファイルを生成し、新しい証明書を発行します。

     重要

     このメソッドは、キーローテーションのベストプラクティスに準拠しておらず、一部の業界のコンプライアンス要件を満たさない場合があります。

   • ドメイン名検証方法:

     ドメイン所有者としての ID を検証する方法を選択します。デフォルトでは、これは古い証明書に使用されたのと同じメソッドです。

   • 連絡先:

     リクエストを送信すると、CA はこの連絡先のメールアドレスに確認メールを送信するか、電話でリクエストについて話し合います。連絡先情報が正確で有効であることを確認してください。

   • 更新期間:

     • 1 年: 新しい 1 年間の証明書を 1 つ受け取ります。購入後、発行されるにはリクエストとドメイン検証を完了する必要があります。

     • 2年 または 3年: これは、長期的な管理を簡素化するためのサブスクリプションサービスのように機能します。

       • 即時操作: 購入後すぐに新しい 1 年間の証明書を 1 つ受け取ります。これを申請、検証、デプロイする必要があります。

       • 将来の自動更新: 2 年目と 3 年目には、ホスティングサービス (複数年価格に含まれる有料サービス) が自動的にプロセスを開始します。現在の証明書の有効期限が切れる前に、サービスは新しい証明書リクエストを作成します。必要なドメイン検証を完了するだけで、翌年の新しい証明書が発行されます。

• 更新が完了すると、証明書のステータスは次のようになります。

  1 年

  ステータスが [申請保留中] の新しい証明書が古い証明書の下に表示されます。 アイコンは、古い証明書との関連付けを示します。古い証明書の有効期間は変更されません。証明書リクエストを送信し、ドメイン名の所有権の検証を完了する必要があります。認証局 (CA) がリクエストを承認すると、新しい証明書が発行されます。

  説明

  証明書を更新する場合、購入構成はデフォルトで古い証明書と同じになります。

  2年 または 3年

  2 年間の更新を例にとると、ステータスが 申請審査中 の新しい証明書と、ステータスが [非アクティブ化] の別の証明書が、古い証明書の下に作成されます。古い証明書の有効期間は変更されません。

  説明

  • ない活性化 証明書は、前の証明書の残りの有効期間が 30 日未満になると、ホスティングサービス を通じて自動的に申請プロセスを開始します。

  • ない活性化 証明書をキャンセルすると、システムは証明書クォータとホスティングサービスの数を返金します。

  • 最初の証明書がクラウド製品リソースにデプロイされた場合、2 番目の証明書はデプロイされたリソースのリストを継承し、マネージドデプロイメントタスクを自動的に作成して開始します。新しい証明書が発行されると、クラウドサービスでのホスト型デプロイメントを使用して、対応するクラウド製品に自動的にデプロイされます。

新しい証明書のデプロイ

SSL 証明書デプロイソリューションを参照して、新しく発行された証明書を Web サーバーまたはクラウドサービスにデプロイし、有効期限が近づいている証明書を置き換えます。

デプロイの検証

更新と再購入の違いは何ですか？

主な違いは、古い証明書の残りの有効期間が繰り越されるかどうかです。

• 証明書の更新: 新しい証明書は、古い証明書の残りの有効期間を最大 30 日間継承でき、スムーズな移行を保証します。

• 直接購入: 新しい証明書の有効期間は発行日から始まります。古い証明書から残りの有効期間を継承することはできず、残りの時間は失われます。

証明書の更新と支払いが正常に完了した後も、Web サイトに「証明書の有効期限がまもなく切れます」という警告が表示されるのはなぜですか？

更新すると、まったく新しい証明書が発行されます。この新しい証明書を Web サーバーまたはクラウドサービスにデプロイして、古い有効期限が近づいている証明書を置き換える必要があります。詳細については、「ステップ 3: 新しい証明書のデプロイと検証」をご参照ください。

証明書リストに「更新購入」ボタンが見つからないのはなぜですか？

使用上の注意セクションに記載されている要件を証明書が満たしているか確認してください。複数ドメイン証明書およびアップロードされた証明書は更新をサポートしておらず、再購入する必要があります。

証明書の有効期限が切れてサービスが停止しました。サービスを迅速に復旧するための緊急手順は何ですか？

有効期限が切れた証明書により Web サイトやアプリケーションにアクセスできなくなった場合は、以下の緊急手順に従って、できるだけ早くサービスを復旧してください。

1. すぐに新しい証明書を購入する

   サービスを迅速に復旧するには、迅速な検証と発行をサポートするドメイン検証 (DV) 証明書をすぐに購入してください。

2. DNS 検証を選択する

   証明書リクエスト中に、DNS 検証を優先してください。これは最も速い方法であり、システムは通常 1〜10 分以内にドメインの所有権の検証を自動的に完了できます。

3. デプロイの準備をする

   証明書が発行されるのを待っている間 (通常 1〜15 分)、デプロイの準備をします。たとえば、古い証明書のストレージディレクトリを特定して、新しい証明書が発行されたらすぐに置き換えられるようにします。

4. 発行後すぐにデプロイする

   発行通知を受け取ったらすぐに、新しい証明書ファイルをダウンロードして Web サーバー (Nginx や Apache など) またはクラウドサービスにデプロイします。ファイルを置き換えた後、関連サービスを再起動して新しい証明書を適用し、Web サイトまたはサービスがオンラインに戻ったことをすぐに確認します。

5. (重要) 一時的な証明書の置き換えを計画する 

   この緊急手順で購入した DV 証明書は一時的なソリューションです。元の証明書 (OV や EV タイプなど) のより高いセキュリティレベルや厳格なビジネス ID 検証が欠けています。サービスを復旧した後、すぐに元の仕様の証明書のリクエストプロセスを再開してください。新しい永続的な証明書が発行されたら、できるだけ早く一時的な DV 証明書を置き換えて、ビジネスのセキュリティ体制を完全に復元してください。