このトピックでは、国際的に認められるアルゴリズムまたは SM2 アルゴリズムを使用する SSL 証明書を、オンプレミスコンピュータから Certificate Management Service コンソールにアップロードして一元管理する方法について説明します。また、異なる Alibaba Cloud アカウント間で証明書を無料で共有する方法についても説明します。
証明書のアップロード
サードパーティのサービスプロバイダーから発行された証明書を使用している場合は、証明書を Certificate Management Service コンソールにアップロードして一元管理できます。その証明書には、国際的に認められるアルゴリズムまたは SM2 アルゴリズムが使用されます。
証明書をアップロードする前に、次のファイルを準備してください。
PEM または CRT 形式の PEM 証明書ファイルと、KEY 形式の PEM 秘密鍵ファイル。証明書が別の形式である場合は、ツールを使用して必要な形式に変換できます。詳細については、「証明書の形式を変換する」をご参照ください。
署名証明書の証明書ファイルと秘密鍵ファイルと、暗号化証明書の証明書ファイルと秘密鍵ファイル。これらのファイルは、SM2 証明書をアップロードするときに必要です。証明書のアルゴリズムが不明な場合は、証明書の詳細を確認してください。詳細については、「証明書に関する情報を表示する」をご参照ください。
Certificate Management Service コンソール に証明書をアップロードした後、証明書をダウンロードすることはできません。これにより、証明書のデータセキュリティが確保されます。
Certificate Management Service コンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
アップロードされた証明書の管理 タブで、証明書のアップロード をクリックします。
パラメーターを設定し、OK をクリックします。
証明書アルゴリズムを 国際的に認められたアルゴリズム に設定する場合と、証明書アルゴリズムを SM2 アルゴリズム に設定する場合では、設定するパラメーターが異なります。次の表でパラメータについて説明します。
国際的に認められたアルゴリズム
パラメータ
説明
証明書アルゴリズム
国際的に認められたアルゴリズム を選択します。国際的に認められたアルゴリズムとは、国際標準化機構 (ISO) や国際電気標準会議 (IEC) などの国際機関によって承認されている暗号化アルゴリズムのことです。アルゴリズムには、Rivest-Shamir-Adleman (RSA) と楕円曲線暗号 (ECC) が含まれます。
証明書名
アップロードする証明書の名前を入力します。
名前には、英字、英数字、ピリオド (.)、アンダースコア (_)、およびハイフン (-) を使用できます。
証明書ファイル
[証明書ファイル] フィールドに内容 (PEM エンコード) を入力します。
入力形式
サーバー証明書のみが信頼されていることを確保する必要がある場合は、証明書ファイルには、サーバー証明書 (次の図の 1 でマーク) と中間証明書 (次の図の 2 でマーク) が含まれている必要があります。中間証明書とサーバー証明書が別々のファイルである場合、証明書チェーン フィールドに中間証明書の内容を入力してください。
クライアント証明書とサーバー証明書の両方が信頼されていることを確保する必要がある場合は、証明書ファイルには、サーバー証明書 (次の図の 1 でマーク)、中間証明書 (次の図の 2 でマーク)、およびルート証明書 (次の図の 3 でマーク) が含まれている必要があります。中間証明書、ルート証明書、およびサーバー証明書が別々のファイルである場合は、次の図に示す順序で中間証明書とルート証明書を連結する必要があります。次に、証明書チェーン フィールドに連結した内容を入力してください。
入力方法
テキストエディタを使用して、PEM または CRT 形式の証明書ファイルを開きます。次に、内容をフィールドにコピーします。
フィールドの下にある アップロード をクリックします。次に、コンピュータから証明書ファイルを選択して、ファイルの内容をアップロードします。
証明書秘密鍵
[証明書秘密鍵] フィールドに内容 (PEM エンコード) を入力します。
入力形式
RSA
ECC
入力方法
手動で入力する:テキストエディタを使用して、KEY 形式の秘密鍵ファイルを開きます。次に、内容をフィールドにコピーします。
アップロードする:フィールドの下にある アップロード をクリックします。次に、コンピュータから秘密鍵ファイルを選択して、ファイルの内容をアップロードします。
既存の CSR を選択する:Certificate Management Service コンソールで作成またはアップロードされた証明書署名要求 (CSR) を選択できます。システムは、指定する証明書ファイルの CSR を自動的に照合します。CSR の管理方法の詳細については、「CSR を管理する」をご参照ください。
説明秘密鍵ファイルをアップロードした後に、証明書と秘密鍵が一致しないというエラーがシステムから報告された場合は、秘密鍵ファイルに RSA 文字が含まれている可能性があります。この場合は、
openssl rsa -in <秘密鍵ファイルの元の名前> -out <秘密鍵ファイルの新しいカスタム名>コマンドを実行してから、ファイルを再アップロードします。証明書チェーン
オプション。[証明書チェーン] フィールドに内容 (PEM エンコード) を入力します。指定する証明書ファイルに完全な証明書チェーンが含まれている場合は、このフィールドに入力する必要はありません。
入力形式
中間証明書またはルート証明書
中間証明書 (次の図の 1 でマーク) とルート証明書 (次の図の 2 でマーク)
入力方法
テキストエディタを使用して、PEM または CRT 形式の証明書チェーンファイルを開きます。次に、内容をフィールドにコピーします。
フィールドの下にある アップロード をクリックします。次に、コンピュータから証明書チェーンファイルを選択して、ファイルの内容をアップロードします。
SM2 アルゴリズム
パラメータ
説明
証明書アルゴリズム
SM2 アルゴリズム を選択します。このアルゴリズムは、中国国家暗号管理局 (SCA) によって承認されています。Certificate Management Service は、非対称暗号アルゴリズムである SM2 アルゴリズムをサポートしています。
証明書名
アップロードする証明書の名前を入力します。
名前には、英字、英数字、アンダースコア (_)、およびハイフン (-) を使用できます。
証明書ファイル
アップロードする 署名証明書の証明書ファイル の内容 (PEM エンコード) を入力します。
次のいずれかの方法を使用して内容を入力してください。方法 1: テキストエディタを使用して、PEM または CRT 形式の証明書ファイルを開きます。次に、内容を [証明書ファイル] フィールドにコピーします。 方法 2: フィールドの下にある アップロード をクリックします。次に、コンピューターから 証明書ファイル を選択して、ファイルの内容をアップロードします。
証明書秘密鍵
アップロードする 署名証明書の秘密鍵ファイル の内容 (PEM エンコード) を入力します。
次のいずれかの方法を使用して内容を入力してください。方法 1: テキストエディタを使用して、KEY 形式の秘密鍵ファイルを開きます。 次に、内容を [証明書秘密鍵] フィールドにコピーします。方法 2: フィールドの下にある アップロード をクリックします。次に、コンピューターから 秘密鍵ファイル を選択して、ファイルの内容をアップロードします。
暗号化証明書
アップロードする 暗号化証明書の証明書ファイル の内容 (PEM エンコード) を入力します。
次のいずれかの方法を使用して内容を入力してください。方法 1: テキストエディタを使用して、PEM または CRT 形式の証明書ファイルを開きます。次に、内容を [証明書ファイル] フィールドにコピーします。方法 2: フィールドの下にある アップロード をクリックします。次に、コンピューターから 証明書ファイル を選択して、ファイルの内容をアップロードします。
暗号化秘密鍵
アップロードする 暗号化証明書の秘密鍵ファイル の内容 (PEM エンコード) を入力します。
次のいずれかの方法を使用して内容を入力してください。方法 1: テキストエディタを使用して、KEY 形式の秘密鍵ファイルを開きます。次に、内容を [暗号化秘密鍵] フィールドにコピーします。方法 2: フィールドの下にある アップロード をクリックします。次に、コンピューターから 秘密鍵ファイル を選択して、ファイルの内容をアップロードします。
証明書がアップロードされると、証明書リストで表示できます。Certificate Management Service コンソール でアップロードされた証明書を管理する必要がない場合は、操作 列の 削除 をクリックして証明書を削除できます。
重要削除されると、証明書はリストから削除されるのみで、 証明書の有効期間には影響しません。削除された証明書は復元できません。慎重に行ってください。
証明書の共有
複数の Alibaba Cloud アカウントがあり、アカウントが同一の実名認証済みの個人または企業に属している場合は、アカウント間で証明書を共有できます。共有証明書を Alibaba Cloud サービスに無料でデプロイできます。
制限
次のシナリオでは、証明書を共有できません。
中国サイト (aliyun.com) の Alibaba Cloud アカウントを使用して申請した証明書を、国際サイト (alibabacloud.com) の Alibaba Cloud アカウントと共有することはできません。国際サイト (alibabacloud.com) の Alibaba Cloud アカウントを使用して申請した証明書を、中国サイト (aliyun.com) の Alibaba Cloud アカウントと共有することはできません。
現在の Alibaba Cloud アカウントに共有されている証明書を別の Alibaba Cloud アカウントと共有することはできません。たとえば、Alibaba Cloud アカウント A、B、および C があるとします。アカウント A を使用して証明書をアカウント B と共有した後、アカウント B を使用してその証明書をアカウント C と共有することはできません。
アップロードされた証明書は共有できません。
証明書の共有条件を満たしていない場合は、現在のアカウントを使用して証明書をダウンロードし、別のアカウントを使用してその証明書をアップロードできます。詳細については、「SSL 証明書のダウンロード」および「証明書のアップロード」をご参照ください。
手順
Certificate Management Service コンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
公式証明書タブで、共有する発行済みの証明書を見つけ、操作 列の もっと をクリックします。
証明書の共有 タブで、アカウント ID フィールドに、証明書を共有する Alibaba Cloud アカウントのID を入力してください。次に、確認して共有 をクリックします。
証明書が共有された後、共有先の Alibaba Cloud アカウントを使用して Certificate Management Service コンソール にログインし、SSL 証明書管理 ページの アップロードされた証明書の管理 タブに移動して証明書を表示できます。共有証明書の ステータス 列に
アイコンが表示されます。
関連情報
アップロードされた証明書のホスティングを有効にする方法の詳細については、「証明書のホスティングの有効化」をご参照ください。