DNS、ファイル、またはメールの方法を使用してドメイン名の所有権を確認する - Certificate Management Service

認証局 (CA) が Web サイトの証明書を発行する前に、CA は、証明書にバインドされているドメイン名を所有しているか、管理できることを確認します。証明書アプリケーションを送信した後、ドメイン名システム (DNS)、ファイル、またはメールの方法を使用して、証明書にバインドされているドメイン名の所有権を証明する必要があります。このトピックでは、ドメイン名所有権検証の方法とプロセスについて説明します。

前提条件

証明書アプリケーションが送信され、証明書が アプリケーションの検証証明書の申請状態になっています。詳細については、「」をご参照ください。

検証結果

SSL Certificates Service コンソールでの検証結果は参考用です。 コンソールに検証結果が合格と表示されていても、CA が検証を完了した、または証明書が発行されたことを意味するものではありません。 実際の検証結果と発行結果については、CA にご確認ください。ほとんどの場合、CA は 1 ～ 5 営業日以内に審査と発行を完了します。

重要

ドメイン検証 (DV) 証明書を申請する場合、SSL Certificates Service コンソールで証明書にバインドされているドメイン名の DNS レコード検証中に待機時間が発生します。そのため、証明書の検証結果が検証失敗になる場合があります。DNS レコードが有効になっていても、「DNS レコードが見つかりません」または「ファイルが見つかりません」というメッセージが引き続き表示される場合は、操作を実行する必要はありません。検証が完了するまで待ちます。
組織検証 (OV) 証明書と企業検証 (EV) 証明書は手動検証が必要であり、発行に時間がかかります。平均して、OV 証明書と EV 証明書は 5 暦日以内に発行されます。メールと電話にご注意ください。CA は営業時間中に連絡します。
長期間経っても証明書が発行されない場合は、DNS レコードが正しいかどうかを確認してください。サードパーティサービスプロバイダーの DNS サービスを使用している場合は、サービスプロバイダーに解決構成について問い合わせてください。
ドメイン名所有権の検証中に問題が発生した場合は、「ドメイン名所有権の検証に関する FAQ」をご参照ください。また、アカウントマネージャーに連絡することもできます。
証明書アプリケーションのレビューが不合格になった場合は、「証明書アプリケーションのレビューが不合格になる理由と解決策」をご参照ください。

検証方法

説明

2021 年 11 月 15 日以降、ファイル検証 メソッドを使用して、*.aliyundoc.com や *.abc.aliyundoc.com などのワイルドカードドメイン名の所有権を検証することはできなくなりました。詳細については、「[お知らせ] ワイルドカード証明書の申請時にファイル検証がサポートされなくなりました」をご参照ください。

次の表に、さまざまな種類の証明書のドメイン名所有権検証の方法と、各方法を使用して検証を完了する方法を示します。

証明書の種類	シナリオ	検証方法	証明書の発行にかかる時間
DV 証明書	証明書申請者の Alibaba Cloud アカウントで Alibaba Cloud DNS が有効になっている	DNS 自動検証: Alibaba Cloud はドメイン名を自動的に識別し、ドメイン所有権の検証のために Alibaba Cloud DNS コンソールでドメイン名の DNS レコードを追加します。証明書が発行されるまで待つだけです。詳細については、「証明書の申請者の Alibaba Cloud アカウントに対して Alibaba Cloud DNS が有効になっている」をご参照ください。	指定された情報が正しい場合、CA は 1 ～ 15 分以内に証明書を発行します。
DV 証明書	証明書申請者の Alibaba Cloud アカウントで Alibaba Cloud DNS が有効になっていない	手動 DNS 検証: 検証を完了するには、DNS サービスプロバイダーのシステムで、ドメイン名に DNS レコードを手動で追加する必要があります。詳細については、「手動 DNS 検証」をご参照ください。ファイル検証: Certificate Management Service コンソールから専用の検証ファイルをダウンロードし、Web サーバーに必要な検証ディレクトリにアップロードする必要があります。詳細については、「ファイル検証」をご参照ください。	指定された情報が正しい場合、CA は 1 ～ 15 分以内に証明書を発行します。
OV または EV 証明書	すべてのシナリオ	メール検証: OV 証明書または EV 証明書の証明書アプリケーションを提出した後、CA スタッフは、指定した携帯電話番号に電話をかけます。または、法定休日を除く 1 営業日以内に、証明書アプリケーションで指定したメールアドレスに検証メールを送信します。時間は CA の場所によって異なります。メールで提供される検証方法を使用し、CA と協力して検証を完了することをお勧めします。	指定された情報が正しく、検証プロセス中に CA スタッフに積極的に協力した場合、CA は 5 暦日以内に証明書を発行します。

証明書申請者の Alibaba Cloud アカウントで Alibaba Cloud DNS が有効になっている

証明書申請者の Alibaba Cloud アカウントで Alibaba Cloud DNS が有効になっていて、DV 証明書が申請されている場合、Alibaba Cloud は証明書にバインドされているドメイン名を自動的に識別し、自動dns検証 方法を選択します。検証方法は変更できません。別の検証方法を使用する場合は、別の Alibaba Cloud アカウントを使用して新しい証明書を購入して申請してください。証明書アプリケーションを送信した後、Alibaba Cloud はドメイン名所有権検証のために Alibaba Cloud DNS コンソールでドメイン名の DNS レコードを自動的に追加します。

重要

DNS 自動検証が想定どおりに進むように、DNS レコードが自動的に追加されると、競合する DNS TXT レコードが削除されます。
SSL Certificates Service コンソールで DNS レコード検証を実行すると、遅延が発生します。DNS レコードが見つかりません検証 DNS レコードが有効になっていても、Certificate Management Service コンソールでをクリックした後にというメッセージが引き続き表示される場合は、操作を実行する必要はありません。検証が完了するまで待ちます。

証明書申請者の Alibaba Cloud アカウントで Alibaba Cloud DNS が有効になっていない

証明書申請者の Alibaba Cloud アカウントで Alibaba Cloud DNS が有効になっておらず、DV 証明書が申請されている場合、Alibaba Cloud は次の検証方法をサポートしています。

DNS 手動検証

DNS 手動検証を実行する場合は、単一のドメイン名またはワイルドカードドメイン名が DV 証明書にバインドされており、ドメイン名の DNS レコードを変更する権限を持っていることを確認してください。この方法を使用する場合は、手動で追加する必要がありますDNS サービスプロバイダーのシステムにあるドメイン名の DNS TXT レコード。ドメイン名の DNS レコードを変更するには、ドメイン名の管理権限が必要です。

手順 1: 確認情報を取得する

証明書申請を送信した後、証明書申請 パネルの 検証情報 ステップから検証情報を取得します。検証情報には、タイプ、ホストレコード、レコード値 が含まれます。

手順 2：DNS レコードを追加する

DNS サービスプロバイダーのシステムで、ドメイン名の DNS レコード を追加します。この例では、Alibaba Cloud DNS を使用しています。

重要

ドメイン名がサードパーティの DNS サービスプロバイダーに登録されている場合は、DNS サービスプロバイダーのシステムにアクセスして、ドメイン名の DNS レコードを追加してください。

ドメイン名所有者の Alibaba Cloud アカウントを使用して、Alibaba Cloud DNS コンソールにログオンします。
[オーソリティブドメイン名] タブで、証明書にバインドされているドメイン名を探し、[アクション] 列の [DNS 設定] をクリックします。
[DNS 設定] タブで、[DNS レコードを追加] をクリックします。
[DNS レコードを追加] ダイアログボックスで、手順 1 で取得した検証情報 ([レコードタイプ]、[ホストレコード]、[レコード値] など) を指定します。次に、[OK] をクリックします。
次の図では、左側の証明書管理サービスコンソールと Alibaba Cloud DNS コンソール が表示されています。

DNS レコードを追加した後、レコードリストでレコードを表示できます。

新しく追加された DNS レコードはすぐに有効になります。
DNS レコードを削除または変更した場合、操作は、ローカル DNS キャッシュに保存されている DNS レコードの生存時間 (TTL) の後に有効になります。ほとんどの場合、デフォルトの TTL は 10 分です。
DNS サーバー情報を変更した場合、操作はデフォルトで 48 時間後に有効になります。たとえば、DNS サービスを Alibaba Cloud DNS に置き換えて DNS レコードを構成した場合、変更は 48 時間後に有効になります。

警告

証明書が発行される前に、追加したレコードを削除しないでください。削除すると、証明書が発行されません。証明書の発行後に、追加したレコードを削除することをお勧めします。これにより、後でレコードが追加されたときの競合を回避できます。

手順 3: ドメイン名を確認する

DNS レコードを追加した後、検証情報Certificate Management Service コンソールの [情報を検証] ステップに戻り、検証をクリックします。

重要

DNS レコードに CAA レコードが含まれている場合は、CAA レコードで指定されている CA が証明書のブランドと一致するかどうかを確認してください。CA がブランドと一致しない場合は、CAA レコードを削除する必要があります。削除しないと、証明書が発行されません。ドメイン名所有権の検証の詳細については、「ドメイン名所有権の検証に関する FAQ」をご参照ください。
SSL Certificates Service コンソールで DNS レコード検証を実行すると、遅延が発生します。DNS レコードが見つかりません検証 DNS レコードが有効になっていても、Certificate Management Service コンソールでをクリックした後にというメッセージが引き続き表示される場合は、操作を実行する必要はありません。検証が完了するまで待ちます。

ファイル検証

ファイル検証を実行する場合は、aliyundoc.com など、1 つのドメイン名が DV 証明書にバインドされていることを確認してください。証明書の申請を送信した後、専用の検証ファイルをダウンロードし、Web サーバーの検証ディレクトリ .well-known/pki-validation/ にアップロードする必要があります。CA は、ポート 443 と 80 を介して、検証ファイルの [HTTPS URL] と [HTTP URL] に順番にアクセスしようとします。URL にアクセスできる場合、検証は成功です。その後、CA は証明書を発行します。

重要

CA は、ポート 80 と 443 のみで検証リクエストを開始できます。Web サーバーでポート 80 と 443 が有効になっていることを確認してください。
DigiCert や GlobalSign など、中国ブランド以外のブランドの証明書を申請する場合は、中国本土以外から DNS サーバーにアクセスできることを確認してください。DNS サーバーのホワイトリストに CA の IP アドレスを一時的に追加することをお勧めします。これにより、CA は DNS サーバーにアクセスして、ドメイン名所有権の検証を完了できます。CA の IP アドレスを取得する方法の詳細については、アカウントマネージャーに連絡してください。

手順:

手順 1: 検証ファイルのダウンロード

証明書アプリケーションを送信した後、検証ファイル を 検証ファイルをダウンロード ステップでクリックして、検証ファイルパッケージをコンピュータにダウンロードし、パッケージを解凍します。ZIP パッケージがダウンロードされます。パッケージを解凍すると、検証ファイル fileauth.txt を取得できます。このファイルは、ダウンロード後 3 日間のみ有効です。有効期間内にドメイン名の所有権の検証を完了しない場合は、検証ファイルを再度ダウンロードする必要があります。

警告

検証ファイルを取得した後、ファイルに対して操作を実行しないでください。たとえば、ファイルを開いたり、編集したり、名前を変更したりしないでください。

手順 2: 検証ファイルのアップロード

Web サーバーでファイル検証の設定を構成します。この例では、NGINX がインストールされている Elastic Compute Service (ECS) Linux インスタンスを使用します。

説明

サーバー管理者に支援を求めることをお勧めします。

ECS インスタンスに接続します。詳細については、「ECS インスタンスに接続する方法」をご参照ください。
ECS インスタンス上の NGINX の Web ルートディレクトリに .well-known/pki-validation/ という名前の検証ディレクトリを作成するには、次のコマンドを順番に実行します。NGINX のデフォルトの Web ルートディレクトリは /var/www/html/ です。
```
cd /var/www/html
mkdir -p .well-known/pki-validation
// 検証ディレクトリを作成します
```
検証ファイル fileauth.txt を検証ディレクトリ /var/www/html/.well-known/pki-validation/ にアップロードします。
PuTTY、Xshell、WinSCP などのリモートログオンツールのファイルアップロード機能を使用してファイルをアップロードできます。Alibaba Cloud Elastic Compute Service (ECS) インスタンスにファイルをアップロードする方法の詳細については、「リモートデスクトップ接続または Windows アプリを使用して Windows インスタンスにファイルを転送する」または「Linux インスタンスにファイルをアップロードする」をご参照ください。
警告
証明書が発行されるまで、検証ファイルを削除しないことをお勧めします。証明書が発行される前に検証ファイルを削除すると、証明書は発行されません。

手順 3: ドメイン名を確認する

検証ファイル fileauth.txt証明書申請SSL Certificates Service コンソールをアップロードした後、の [証明書を申請する] パネルに戻ります。

Httpsアドレス パラメーターと Httpアドレス パラメーターで指定された URL にアクセスします。URL にアクセスできることを確認してください。
重要
- ドメイン名が aliyundoc.com などの第 1 レベルドメイン名である場合は、www. で始まる第 2 レベルドメイン名の検証ファイルの URL にもアクセスできることを確認してください。たとえば、第 1 レベルドメイン名が aliyundoc.com である場合は、http://aliyundoc.com/.well-known/pki-validation/fileauth.txt と http://www.aliyundoc.com/.well-known/pki-validation/fileauth.txt の両方にアクセスできることを確認してください。アクセスできない場合、ドメイン名所有権の検証は失敗します。
- ドメイン名が www.example.com など、www. で始まる第 2 レベルドメイン名である場合は、その第 1 レベルドメイン名にアクセスできることを確認してください。たとえば、第 2 レベルドメイン名が www.example.com である場合は、http://www.example.com/.well-known/pki-validation/fileauth.txt と http://example.com/.well-known/pki-validation/fileauth.txt の両方にアクセスできることを確認してください。アクセスできない場合、ド名所有権の検証は失敗します。
- 検証ファイルの Httpsアドレス パラメーターまたは Httpアドレス パラメーターで指定された URL に対して、301 リダイレクトまたは 302 リダイレクトが有効になっていないことを確認してください。リダイレクトが有効になっている場合は、関連する設定をキャンセルしてリダイレクトを無効にする必要があります。wget -S <URL> コマンドを実行して、URL に対してリダイレクトが有効になっているかどうかを確認できます。
- Web サーバーで HTTPS サービスが有効になっている場合は、検証ファイルの Httpsアドレス パラメーターで指定された URL にアクセスでき、証明書が信頼されていることを確認してください。そうでない場合は、検証への影響を防ぐために、Web サーバーで HTTPS サービスを一時的に無効にすることをお勧めします。Web サーバーで HTTPS サービスが構成されていない場合は、検証ファイルの Httpアドレス パラメーターで指定された URL にアクセスできることを確認してください。
[検証] をクリックします。

重要

SSL Certificates Service コンソールでは、ファイル検証中に待機時間が発生します。[ファイルが見つかりません。] メッセージが [検証] をクリックした後に表示された場合は、待つ必要があります。 1 営業日後に検証が完了しない場合は、アップロードした検証ファイルが有効かどうかを確認してください。

Certificate Management Service:ドメイン名の所有権を確認する