SSL 証明書のリクエストを送信した後、認証局 (CA) はドメイン名の所有権を検証する必要があります。これは、不正な証明書発行を防ぐための必須のセキュリティ手順です。
注意事項
証明書タイプ: 公式証明書。
証明書ステータス: 申請審査中。
ドメイン名の所有権の検証
証明書の種類 (DV、OV、または EV) に基づいて、DV 証明書のドメイン所有権の検証 または OV および EV 証明書のドメイン所有権の検証 を参照して、検証を完了してください。
DV 証明書のドメイン所有権の検証
ステップ 1: 検証情報の取得
現在の証明書の 検証情報 パネルが閉じている場合は、SSL 証明書管理 コンソールに移動します。右側の証明書リストで、対象の証明書 を見つけます。次に、認証 列の 操作 をクリックして、検証情報 パネルを開きます。
ステップ 2: ドメイン名の所有権の検証
DV 証明書の申請を提出すると、自動dns検証、手動dns検証、または ファイル検証 の 3 つの認証方法のいずれかを使用できます。証明書を申請したときに選択した方法の手順に従ってください。
DV 証明書がドメイン所有権の検証に合格すると、自動的に審査され発行されます。このプロセスには平均で 1〜15 分かかります。
ドメイン名の所有権の検証が成功しても、CA 審査が完了したわけではありません。審査結果については、「CA 審査結果の表示」をご参照ください。
自動 DNS 検証
検証情報 パネルの 認証 ボタンの下にメッセージ 'Domain validation successful' が表示された場合、検証は完了です。それ以外の場合は、プロンプトの指示に従い、よくある質問 を参照し、検証が成功するまで再度 認証 をクリックします。
申請する DV 証明書のドメイン名が自動検証の対象である場合、システムによってデフォルトで 自動dns検証 メソッドが選択され、このオプションは変更できません。
申請を送信すると、Alibaba Cloud は Alibaba Cloud DNS コンソールで現在のドメイン名の DNS レコードを自動的に追加し、ドメインの所有権を検証します。
コンソールが DNS 名前解決の結果を検証する際に、遅延が発生することがあります。ドメイン名の名前解決が有効になっているにもかかわらず、認証 をクリックした後に「DNS レコード値が検出されません」というメッセージが引き続き表示される場合は、数分待ってからリトライしてください。
自動 DNS 検証がスムーズに進むように、新しい DNS レコードが追加される際に、DNS サービス内の競合する TXT レコードは削除されます。これが TXT レコードに依存するサードパーティサービスの認証に影響しないか確認してください。
手動 DNS 検証
ご利用の DNS プロバイダーで、TXT レコードを手動で追加して、ドメインの所有権を検証できます。
DNS レコードの有効化時間
新しい DNS レコード: リアルタイムで有効になります。
削除または変更された DNS レコード: 有効化時間は DNS キャッシュの TTL (Time to Live) に依存し、通常は 10 分です。
DNS サーバーの変更: 有効になるまで最大 48 時間かかります。
検証手順
証明書が発行される前に、追加した DNS レコードを削除しないでください。削除すると、証明書の発行に失敗します。
証明書が発行された後、後で他のレコードを追加する際の競合を防ぐために、TXT レコードを削除することを推奨します。
コンソールに「現在の操作は承認されていません。管理者に連絡して権限を付与してもらってください。」というメッセージが表示された場合は、RAM アカウントの管理者に連絡してください。詳細については、「RAM ユーザーの権限を管理する」をご参照のうえ、現在のアカウントに
AliyunDNSFullAccess権限を付与してください (または、コンソールのプロンプトで要求される特定の権限を付与してください)。最小権限の原則に従い、システムから要求された権限のみを付与することをお勧めします。
検証情報を取得します。
検証情報 パネルの ドメインネームコンソールに DNS レコードを追加します で、レコードタイプ、ホストレコード、および レコード値 をコピーします。この情報を DNS プロバイダーで追加する必要があります。
DNS レコードを追加します。
ドメインの DNS プロバイダーで DNS レコードを追加します。以下の手順は、Alibaba Cloud DNS で TXT レコードを追加する例です。
説明ドメイン名が Alibaba Cloud DNS を使用していない場合は、ご利用の DNS プロバイダーでこの操作を実行してください。
登録者の Alibaba Cloud アカウントを使用して、Alibaba Cloud DNS コンソールにログインします。目的のドメイン名を見つけ、[操作] 列の [設定] をクリックして DNS 設定ページに移動します。
[レコードの追加] をクリックします。 表示されるパネルで、前のステップで取得した検証情報として、レコードタイプ、ホストレコード、レコード値 を入力します。 次に、[OK] をクリックします。
説明左の画像は Certificate Management Service コンソールからの DNS レコード情報を示しています。右の画像は Alibaba Cloud DNS コンソールでの設定を示しています。
ドメイン名を検証します。
DNS レコードを設定した後、検証情報 パネルの 認証 ボタンをクリックします。メッセージ 'Domain validated successfully' が 認証 ボタンの下に表示された場合、検証は完了です。表示されない場合は、メッセージの指示に従い、トラブルシューティングについては よくある質問 を参照し、検証が成功するまで 認証 を再度クリックします。
重要コンソールでは、DNS 名前解決の結果を検証する際に遅延が発生する場合があります。ドメイン名の名前解決が有効になっているにもかかわらず、認証 をクリックした後も「DNS レコード値が検出されません」というメッセージが表示され続ける場合は、数分待ってから再試行してください。
ファイル検証
検証手順
サーバーポートを開く: CA はポート 80 (HTTP) とポート 443 (HTTPS) を介してのみ検証ファイルの内容を取得します。サーバーでこれらの 2 つのポートが開いていることを確認する必要があります。HTTPS サービスが一時的に利用できない場合は、HTTPS サービスを一時的にシャットダウン (ポート 443 のリッスンを停止) する必要があります。
ルートドメインと www サブドメインの両方がアクセス可能であることを確認する: aliyundoc.com などのルートドメイン、または www サブドメインの証明書をリクエストする場合でも、両方がパブリックネットワークからアクセス可能であることを確認する必要があります。
URL リダイレクトの禁止: CA の検証プロセスは、301 恒久リダイレクトや 302 一時リダイレクトなどの HTTP リダイレクトをサポートしていません。
検証手順
検証ファイルをダウンロードします。
証明書署名要求を審査に提出した後、検証ファイルをダウンロード セクションに移動します。検証ファイル をクリックして、検証ファイルパッケージをローカルコンピューターにダウンロードします。次に、パッケージを解凍して検証ファイルを取得します。
重要パッケージをダウンロードして解凍し、検証ファイルを取得した後は、ファイルを開いたり、編集したり、名前を変更したりするなどの操作を行わないでください。
ファイルはダウンロード後 3 日間のみ有効です。この期間内にファイル検証を完了しない場合は、新しい検証ファイルをダウンロードする必要があります。
検証ファイルをアップロードします。
以下の例は、Linux を実行している Alibaba Cloud ECS インスタンス上の Nginx でファイル検証を設定する方法を示しています。
説明この操作はサーバー管理者が実行する必要があります。
ECS インスタンスに接続します。詳細については、「ECS インスタンスに接続するメソッドを選択する」をご参照ください。
サーバーの Web ルートディレクトリで次のコマンドを実行して、ファイル検証用の
.well-known/pki-validation/ディレクトリを作成します。Nginx サービスの場合、デフォルトの Web ルートディレクトリは /var/www/html/ です。cd /var/www/html mkdir -p .well-known/pki-validation検証ファイルを検証ディレクトリ (
/var/www/html/.well-known/pki-validation/) にアップロードします。PuTTY、XShell、または WinSCP などのリモートログインツールのローカルファイルアップロード機能を使用して、ファイルをアップロードできます。 Alibaba Cloud Elastic Compute Service (ECS) インスタンスを使用している場合、ファイルのアップロード方法の詳細については、「ファイルのアップロードまたはダウンロード」をご参照ください。
警告証明書が発行される前に、サーバーから検証ファイルを削除しないでください。削除すると、証明書の発行に失敗します。
ドメイン名を検証します。
検証ファイルをアップロードした後、Certificate Management Service コンソールに戻ります。証明書リストで、対象の証明書の操作列にある 認証 ボタンをクリックします。ファイル検証が遅延する場合があります。「File not detected」エラーが発生した場合は、約 1 分待機してからリトライします。複数回リトライしても検証に失敗する場合は、正しいファイルを再度アップロードします。
説明システムは、
http://<your_domain_name>/.well-known/pki-validation/<verification_file_name>またはhttps://<your_domain_name>/.well-known/pki-validation/<verification_file_name>でファイルの内容を自動的に検証します。
OV および EV 証明書のドメイン所有権の検証
OV または EV 証明書のリクエストを送信した後、CA は約 1 営業日以内に連絡します。CA は、リクエストで提供された電話番号またはメールアドレスを使用します。営業日は CA の現地時間帯に基づいており、祝日は除きます。
提供した情報が正しく、CA の検証に積極的に協力した場合、OV および EV 証明書は平均 5 暦日で発行されます。証明書が 30 暦日以内に発行されない場合、審査は自動的に失敗します。
5 営業日以内に電話またはメールが届かない場合は、アカウントマネージャーに連絡して支援を求めることができます。
現在の進捗を確認するには、SSL 証明書管理 コンソールに移動します。 タブの証明書リストで対象の証明書を探します。次に、
アイコンを ステータス 列でクリックして詳細を表示します。
電話
CA のスタッフが、証明書リクエストで提供された連絡先電話番号に電話をかけ、情報を確認します。CA からの確認電話を受け取れるように、連絡先の電話回線が開いていることを確認してください。
メール
CA は、証明書リクエストで提供された連絡先メールアドレスにドメイン検証メールを送信します。メールを確認し、メールの指示に従ってください。
メールの内容は証明書のブランドによって異なります。以下のメールの例は参考用です。実際に受け取るメールが有効なものとなります。
GlobalSign
CA の審査結果の確認
ドメイン名の所有権検証を完了すると、CA による審査が実施されます。審査結果については、CA 審査結果の処理をご参照ください。
よくある質問
DNS 認証
自動認証方法を変更できますか?
いいえ、変更できません。方法を変更するには、別の Alibaba Cloud アカウントに切り替えて証明書を購入するか、ドメイン名の名前解決を管理する必要があります。
DNS レコードが有効になったかどうかを確認するにはどうすればよいですか?
Alibaba Cloud は、DNS レコードがアクティブかどうかを確認するのに役立つ ネットワーク診断ツール を提供しています。ツールを使用するには:
証明書申請 パネルで、レコード値の表示 をクリックします。
[DNS] タブで、[OK] をクリックします。
[プローブチェック結果] リストの解決結果が、設定した DNS レコードの値と一致する場合、DNS レコードは有効です。
コンソールに 'DNS レコードが見つかりません。' と表示された場合はどうすればよいですか?
一般的な原因と解決策は次のとおりです:
DNS レコードが追加されていない。
詳細については、「手動 DNS 認証」をご参照ください。DNS プロバイダーで TXT レコードを手動で追加して、ドメイン所有権を認証できます。
コンソールの検証に遅延がある。
DNS レコードを正しく追加したにもかかわらず、[DNS レコードが見つかりません。] というメッセージが引き続き表示される場合は、コンソールの検証に遅延が生じている可能性があります。しばらく待ってからリトライしてください。
SSL 証明書にバインドされたドメイン名が DNS レコードのドメイン名と一致しない。
説明Alibaba Cloud DNS を使用していない場合は、ご利用の DNS プロバイダーのコンソールに移動してドメイン名を確認できます。
ドメイン名が一致することを確認します。
SSL 証明書の検証ページで、[変更] をクリックして、証明書にバインドするドメイン名を再入力し、再度審査を申請できます。
コンソールに 'DNS レコードで不一致が見つかりました。' というメッセージが表示された場合はどうすればよいですか?
一般的な原因と解決策は次のとおりです:
DNS レコード値が正しく設定されていない。
証明書リクエストからホストレコードとレコード値をコピーし、DNS レコード設定に再度貼り付けます。
DNSPod または別の DNS プロバイダーを使用してドメイン名の名前解決を行っている。
現在、コンソールのエラーメッセージは無視してかまいません。DNSPod またはご利用のプロバイダーで要件に従って DNS レコードを設定した後、CA (認証局) が検証を完了するまでお待ちください。
DigiCert DV 証明書の場合、DNS レコード値が 24 時間以上経過している。
24 時間以上経過した TXT レコード値を削除できます。
Certificate Management Service コンソールにログインし、対象の証明書を再申請して、最新の TXT DNS レコード値を取得できます。
ご利用の DNS プロバイダーのプラットフォームに移動し、新しい TXT レコード値を追加できます。
説明GeoTrust DV 証明書のタイムスタンプは常に有効です。
レコード値が中国国外の DNS サーバーに同期されていない。
動的 DNS レコードの同期遅延により、中国国外の権威 DNS サーバーが最新の TXT レコード値を取得できない場合があります。動的名前解決サービスが正しく実行されているかを確認し、同期が完了するまでお待ちください。
コンソールに '検証がタイムアウトしました。もう一度お試しください。' というメッセージが表示された場合はどうすればよいですか?
このエラーは、サイトサーバーにネットワークエラーがあるために発生します。ドメイン名プロバイダーに連絡して、ネットワークの問題を確認し、修正してください。
DNS レコードが有効になった後でも、なぜコンソールの検証が失敗するのですか?
これは、コンソールの検証に遅延があることが原因である可能性があります。約 1 分待ってから再試行してください。
ドメイン名に CAA レコードが存在するため、検証が失敗する
説明Certification Authority Authorization (CAA) は、ドメイン所有者が自分のドメインに対して SSL/TLS 証明書を発行する権限を持つ CA を指定できる DNS レコードの一種です。これにより、不正または不適切な証明書発行を防ぎ、Web サイトのセキュリティを向上させます。
解決策 1:Alibaba Cloud DNS コンソールなどの DNS プロバイダーに移動します。ドメイン名の DNS 設定ページで、レコードタイプが CAA の DNS レコードを削除します。操作が完了したら、証明書を再度リクエストします。
解決策 2:証明書の CA を CAA DNS レコードに追加します。操作が完了したら、証明書を再申請します。
説明ドメイン名の CNAME レコードが github.io ドメインを指している場合、github.io の CAA ポリシーも適用され、証明書発行に影響します。この場合、証明書を発行する前に CNAME レコードを一時停止するか、CAA レコードに trust-provider.com、globalsign.com、sectigo.com を追加できます。
DNS プロバイダーが Alibaba Cloud ではありません。DNS レコードを設定するにはどうすればよいですか?
ソリューション
方法
利点
現在のプロバイダーで設定
現在のドメイン名プラットフォームにログインし、Alibaba Cloud の SSL 証明書検証レコード (TXT) を追加できます。
説明ご不明な点がある場合は、ご利用の DNS プロバイダーにお問い合わせください。
迅速かつ直接的。ドメイン名の転送は不要です。
ドメイン名を Alibaba Cloud に転送
「Alibaba Cloud へのドメイン名の転送」の説明に従ってドメイン名の転送を完了した後、Alibaba Cloud DNS コンソールで DNS を設定できます。
重要ドメイン名を転送する場合、1 年間の更新料を支払う必要があります。転入価格は 1 年間の更新価格と同じです。
将来の証明書の更新やドメイン名の一元管理が容易になります。
ファイル認証
コンソールに 'ファイルが見つかりません。' というメッセージが表示された場合はどうすればよいですか?
一般的な原因と解決策は次のとおりです:
認証ファイルがサーバーの指定されたディレクトリにアップロードされていない。
「ドメイン所有権の認証」をご参照の上、サイトのサーバー上の指定された認証ディレクトリ (.well-known/pki-validation/) に認証ファイルをアップロードしてください。
コンソールにファイル検証の遅延がある。
サーバー上の正しいディレクトリに検証ファイルをアップロード済みで、Httpsアドレス と Httpアドレス の両方でコンテンツにアクセスできるにもかかわらず、コンソールに「[ファイルが見つかりません。]」というメッセージが引き続き表示される場合は、コンソールのファイル検証に遅延が生じていることが原因と考えられます。操作は不要です。システムがリトライするまでお待ちください。
コンソールに '検証がタイムアウトしました。もう一度お試しください。' というメッセージが表示された場合はどうすればよいですか?
一般的な原因と解決策は次のとおりです:
サーバーでポート 80 または 443 が開いていない。
CA では、検証ファイルの内容は、Httpsアドレス と Httpアドレス (ポート 443 およびポート 80) を介してのみ検証できます。
解決策 1:ポート 80 または 443 を開きます。
Linux
サーバーターミナルで次のコマンドを実行して、ポート 443 が開いているかどうかを確認します:
RHEL/CentOS
command -v nc > /dev/null 2>&1 || sudo yum install -y nc # <your_server_public_ip> をサーバーのパブリック IP アドレスに置き換えます。 sudo ss -tlnp | grep -q ':443 ' || sudo nc -l 443 & sleep 1; nc -w 3 -vz <your_server_public_ip> 443出力が
Ncat: Connected to <your_server_public_ip>:443の場合、ポート 443 は開いています。そうでない場合は、セキュリティグループとファイアウォールでポート 443 を開いてください。Debian/Ubuntu
command -v nc > /dev/null 2>&1 || sudo apt-get install -y netcat # <your_server_public_ip> をサーバーのパブリック IP アドレスに置き換えます。 sudo ss -tlnp | grep -q ':443 ' || sudo nc -l -p 443 & sleep 1; nc -w 3 -vz <your_server_public_ip> 443出力が
Connection to <your_server_public_ip> port [tcp/https] succeeded!または[<your_server_public_ip>] 443 (https) openの場合、ポート 443 は開いています。そうでない場合は、セキュリティグループとファイアウォールでポート 443 を開いてください。セキュリティグループの設定でポート 443 を開きます。
重要サーバーがクラウドプラットフォームにデプロイされている場合は、そのセキュリティグループが TCP ポート 443 でのインバウンドトラフィックを許可していることを確認してください。そうでない場合、サービスにアクセスできなくなります。以下の手順では、Alibaba Cloud Elastic Compute Service (ECS) を例として使用します。他のクラウドプラットフォームについては、公式ドキュメントをご参照ください。
Elastic Compute Service (ECS) インスタンスページに移動し、対象のインスタンス名をクリックしてインスタンス詳細ページに移動します。 [セキュリティグループの詳細] セクションで、[アクション] を [許可] に、[プロトコル] を [カスタム TCP] に、[宛先 (現在のインスタンス)] を HTTPS (443) に、[ソース] を [0.0.0.0/0 (任意)] に設定してルールを追加します。 詳細については、「セキュリティグループルールを追加する」をご参照ください。
ファイアウォールでポート 443 を開きます。
次のコマンドを実行して、システムでアクティブなファイアウォールサービスを特定します:
if command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet firewalld; then echo "firewalld" elif command -v ufw >/dev/null 2>&1 && sudo ufw status | grep -qw active; then echo "ufw" elif command -v nft >/dev/null 2>&1 && sudo nft list ruleset 2>/dev/null | grep -q 'table'; then echo "nftables" elif command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet iptables; then echo "iptables" elif command -v iptables >/dev/null 2>&1 && sudo iptables -L 2>/dev/null | grep -qE 'REJECT|DROP|ACCEPT'; then echo "iptables" else echo "none" fi出力が
noneの場合、これ以上の操作は必要ありません。そうでない場合は、出力 (firewalld、ufw、nftables、またはiptables) に基づいて、以下の対応するコマンドを実行してポート 443 を開きます:firewalld
sudo firewall-cmd --permanent --add-port=443/tcp && sudo firewall-cmd --reloadufw
sudo ufw allow 443/tcpnftables
sudo nft add table inet filter 2>/dev/null sudo nft add chain inet filter input '{ type filter hook input priority 0; }' 2>/dev/null sudo nft add rule inet filter input tcp dport 443 counter accept 2>/dev/nulliptables
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPTシステムの再起動後も iptables ルールが永続することを確認するには、次のコマンドを実行します:
RHEL/CentOS
sudo yum install -y iptables-services sudo service iptables saveDebian/Ubuntu
sudo apt-get install -y iptables-persistent sudo iptables-save | sudo tee /etc/iptables/rules.v4 >/dev/null
Windows
Windows サーバーにログオンし、左下隅の[スタート] メニューをクリックし、[コントロールパネル] を開きます。
をクリックします。
ファイアウォールが次の図に示すようにオフになっている場合、これ以上の操作は必要ありません。
ファイアウォールがオンになっている場合は、次の手順に従って HTTPS ルールを許可します。
左側のナビゲーションウィンドウで、 をクリックし、[プロトコル] が TCP、[ローカルポート] が 443、[アクション] が [ブロック] となっているインバウンドルールがあるかどうかを確認します。
このようなルールが存在する場合は、それを右クリックして[プロパティ]を選択します。[全般] タブで、設定を [接続を許可する] に変更し、[適用] をクリックします。
解決策 2: 証明書申請 パネルで、申請の取り消し をクリックし、ドメイン検証方法を 手動dns検証 に変更します。
301 または 302 リダイレクトが存在する。
wget -S <URL>コマンドを使用して、認証 URL にリダイレクトがあるかどうかを確認できます。応答がHTTP/1.1 301 Moved PermanentlyまたはHTTP/1.1 302 Foundの場合、リダイレクトが存在することを示します。wget -S http://<your_domain_name>/.well-known/pki-validation/<verification_file_name>リダイレクト設定を削除します。次のコードは、nginx.conf ファイル内の 301 および 302 設定の例です。
301 設定
server { listen 80; server_name <your_root_domain> <your_www_subdomain>; return 301 <redirect_domain>$request_uri; }302 設定
location /.well-known/ { return 302 <redirection_URL> }
サイトサーバーのネットワークセキュリティデバイスにホワイトリストが設定されている。
ファイアウォールやセキュリティグループなどのネットワークセキュリティ設定で許可された IP アドレスのホワイトリストが設定されている場合は、CA の IP アドレス範囲を一時的にホワイトリストに追加する必要があります。これにより、CA がサーバーにアクセスできるようになります。
CA ベンダー
IP
DigiCert
216.168.247.9
64.78.193.238
216.168.249.9
GlobalSign
211.123.204.251
180.222.177.99
114.179.250.1
114.179.250.2
27.115.18.218
コンソールに 'ファイルの内容が無効です。' というエラーが表示された場合はどうすればよいですか?
一般的な原因と解決策は次のとおりです:
ルートドメインと www サブドメインが同時に 検証ファイルにアクセスできない
ルートドメイン (例:
aliyundoc.com) またはその www サブドメイン (例:www.aliyundoc.com) の証明書を申請する場合でも、CA は両方のドメインを同時にチェックします。両方のドメインの認証ファイルが公開アクセス可能であることを確認する必要があります。そうでない場合、検証は失敗します。説明たとえば、
www.aliyundoc.comとaliyundoc.comの場合、http://www.aliyundoc.com/.well-known/pki-validation/fileauth.txtとhttp://aliyundoc.com/.well-known/pki-validation/fileauth.txtの両方が公開アクセス可能であることを確認する必要があります。Web サーバー上の 検証ファイルの内容が、最新の 検証ファイルの内容と一致しない。
検証情報 パネルで、検出されたファイルの表示 をクリックし、その内容が最新の 検証ファイル と一致することを確認してください。内容が一致しない場合は、検証ファイル を再度ダウンロードしてアップロードし、再度検証を行ってください。
サイトで HTTPS アクセスが有効になっているが、HTTP アクセスしかサポートしていない。
解決策 1:認証ファイルを HTTP と HTTPS の両方のサービスパスにデプロイし、HTTPS プロトコルがアクセス可能であることを確認します。
解決策 2:サイトの関連ページで HTTPS サービスを一時的にシャットダウンします。
サイトは CDN サービスを使用しているが、中国国外のサービスノードへのデータ同期が完了していない。
解決策 1: 検証ファイル を中国国外の CDN サービスノードに同期するか、中国国外のリージョン向けの CDN アクセラレーションサービスを一時的に無効にします。
解決策 2: CDN サービスノードサーバーに変更を加えられない場合は、証明書申請 パネルで 申請の取り消し をクリックし、ドメイン検証方法を 手動dns検証 に変更できます。
検証ファイルのタイムスタンプがタイムアウトしました。
最新の検証ファイルを再ダウンロードし、Web サーバーにアップロードする必要があります。