すべてのプロダクト
Search
ドキュメントセンター

Certificate Management Service:ドメインの所有権の検証

最終更新日:Apr 01, 2026

SSL 証明書の申請後、認証局 (CA) が証明書を発行する前に、ドメインの所有権の検証を完了する必要があります。本トピックでは、DV 証明書の検証に使用可能な 3 種類の方法 — 自動 DNS 検証、手動 DNS 検証、およびファイル検証 — をすべて解説します。また、OV および EV 証明書の場合の CA との連絡プロセスについても説明します。

注意事項

  • 対象となる証明書タイプ:商用証明書

  • 証明書のステータス:検証中

DV 証明書のドメイン所有権検証

ステップ 1:検証情報パネルを開く

検証情報 パネルが既に開いていない場合は、SSL 証明書管理 ページに移動します。証明書一覧から対象の証明書を見つけ、操作 列の 検証 をクリックします。

ステップ 2:検証方法を選択する

DV 証明書の申請を送信した後、以下の 3 つの検証方法のいずれかを選択します:自動 DNS 検証手動 DNS 検証、または ファイル検証。下記の表では、各方法を使用するタイミングをまとめています。

方法使用タイミング制限事項
自動 DNS 検証ドメインの DNS が Alibaba Cloud DNS で管理されており、自動検証の条件を満たしている場合他の方法への切り替えはできません
手動 DNS 検証DNS を自社で管理している場合、またはサードパーティの DNS プロバイダーを利用している場合TXT レコードの手動作成が必要です
ファイル検証お客様の Web サーバーに直接アクセスできます。ポート 80 および 443 が開放されている必要があります。URL リダイレクトは許可されません
ドメインの所有権検証が完了すると、CA が自動的にレビューを行い、通常 1 分~15 分以内に DV 証明書を発行します。検証に合格したからといって、CA のレビューが完了したわけではありません。最終的なレビュー結果を確認するには、「CA レビュー結果の処理」をご参照ください。

自動 DNS 検証

ドメインが自動検証の条件を満たす場合、システムがデフォルトで 自動 DNS 検証 を選択し、この選択は変更できません。

申請を送信すると、Alibaba Cloud が Alibaba Cloud DNS コンソール に DNS TXT レコードを自動的に追加して、ドメインの所有権を検証します。検証 ボタンの下に ドメイン名の検証に成功しました というメッセージが表示された時点で、検証は完了です。

メッセージが表示されない場合は、画面の指示に従い、「よくある質問」を参照して問題を解決したうえで、検証 を再度クリックしてください。

重要

新しい DNS レコードが追加されると、DNS サービス上の競合する既存の TXT レコードが削除されます。実行前に、これらの TXT レコードを依存しているサードパーティのサービスがないか確認してください。

コンソールの状態は、実際の DNS 伝搬状況より遅れることがあります。DNS レコードが有効になっているにもかかわらず、検証 をクリックしてもコンソールに DNS レコードが見つかりません。

手動 DNS 検証

DNS プロバイダーで TXT レコードを手動で追加して、ドメインの所有権を検証します。

DNS レコードの伝搬時間

操作伝搬時間
新規レコードの追加リアルタイム
レコードの削除または変更TTL(Time to Live)に依存。通常は 10 分程度
ネームサーバーの変更最大 48 時間

手順

重要
  • 証明書が発行されるまでは、TXT レコードを削除しないでください。削除すると、証明書発行が失敗します。

  • 証明書が発行された後は、今後のレコード追加時に競合が発生しないよう、TXT レコードを削除してください。

  • コンソールに 現在の操作は許可されていません。管理者に連絡して権限付与を行ってください。 と表示された場合は、Resource Access Management (RAM) アカウントの管理者に連絡し、AliyunDNSFullAccess 権限(またはコンソールの案内で指定された特定の権限)を付与してもらってください。最小権限の原則に従い、システムが要求する権限のみを付与してください。詳細については、「RAM ユーザーの権限管理」をご参照ください。

  1. 検証情報を取得します。検証情報 パネルの ドメイン名コンソールで DNS レコードを追加 の下で、タイプホストレコード、および レコード値 をコピーします。これらを DNS プロバイダーで設定します。

  2. DNS レコードを追加します。ドメインの DNS プロバイダーで TXT レコードを追加します。以下は、Alibaba Cloud DNS でレコードを追加する例です。

    1. 登録者アカウントで Alibaba Cloud DNS コンソール にログインします。対象のドメインを見つけ、操作 列の 設定項目 をクリックします。

    2. レコードの追加 をクリックします。表示されたパネルで、ステップ 1 でコピーした タイプホストレコード、および レコード値 を入力し、OK をクリックします。

    ドメインで Alibaba Cloud DNS を使用していない場合は、代わりにご利用の DNS プロバイダーでこの手順を実行してください。
    左側の画像は証明書管理サービスコンソールからのレコード情報、右側の画像は Alibaba Cloud DNS コンソールの設定画面です。

    image

  3. ドメインを検証します。DNS レコードを追加した後、検証情報 パネルの 検証 をクリックします。ボタンの下に ドメイン名の検証に成功しました と表示されたら、検証は完了です。それ以外の場合は、画面の指示に従い、「よくある質問」を参照して問題を解決したうえで、検証 を再度クリックしてください。

    重要

    コンソールの状態は、実際の DNS 伝搬状況より遅れることがあります。レコードが有効になっているにもかかわらず、コンソールに DNS レコードが見つかりません。 と表示される場合は、数分待ってから再試行してください。

ファイル検証

前提条件

検証ファイルをアップロードする前に、サーバーが以下のすべての要件を満たしていることを確認してください:

  • ポート 80 および 443 が開放されています。 CA は、検証ファイルをポート 80(HTTP)およびポート 443(HTTPS)経由でのみ取得します。HTTPS サービスが利用できない場合は、一時的に停止(ポート 443 へのリッスン停止)してください。

  • ルートドメインおよび www サブドメインの両方が公開アクセス可能です。 ルートドメイン(例:aliyundoc.com)または www ドメインのいずれかを申請した場合でも、両方のドメインが到達可能である必要があります。

  • URL リダイレクトが設定されていません。 CA の検証ツールは 301 または 302 リダイレクトを追跡しません。

手順

  1. 検証ファイルをダウンロードします。検証情報 パネルの 検証ファイルのダウンロード セクションで、検証ファイル をクリックしてパッケージをダウンロードします。パッケージを展開して検証ファイルを取得します。

    重要

    - ダウンロード後に検証ファイルを開いたり、編集したり、名前を変更したりしないでください。 - ファイルはダウンロード後 3 日間のみ有効です。この期間内に検証を完了できない場合は、新しいファイルをダウンロードしてください。

    image.png

  2. 検証ファイルをアップロードします。以下は、Alibaba Cloud Elastic Compute Service (ECS) インスタンス上で動作する Nginx(Linux)サーバーにおけるファイル検証の設定例です。

    1. ECS インスタンスに接続します。詳細については、「ECS インスタンスへの接続方法の選択」をご参照ください。

    2. Nginx の Web ルート(デフォルト:/var/www/html/)配下に検証用ディレクトリを作成するために、以下のコマンドを実行します:bash cd /var/www/html mkdir -p .well-known/pki-validation

    3. 検証ファイルを /var/www/html/.well-known/pki-validation/ にアップロードします。PuTTY、XShell、WinSCP などのリモートログインツールのファイルアップロード機能をご利用ください。ECS インスタンスをご利用の場合は、「ファイルのアップロードまたはダウンロード」をご参照ください。

    この手順はサーバー管理者が実行する必要があります。
    警告

    証明書が発行されるまでは、検証ファイルを削除しないでください。削除すると、証明書発行が失敗します。

  3. 検証を開始します。証明書管理サービスコンソール に戻ります。証明書一覧から対象の証明書を見つけ、操作 列の 検証 をクリックします。システムは以下の URL でファイルをチェックします。コンソールに ファイルが見つかりません と表示された場合は、約 1 分待ってから 検証 を再度クリックしてください。複数回試行しても検証が失敗する場合は、正しいファイルを再アップロードしてください。

    • http://<your_domain_name>/.well-known/pki-validation/<verification_file_name>

    • https://<your_domain_name>/.well-known/pki-validation/<verification_file_name>

OV および EV 証明書のドメイン所有権検証

OV および EV 証明書の場合、ドメインの所有権検証は CA が直接実施します。申請を送信すると、CA が申請内容に記載された電話番号またはメールアドレスを通じて、通常は営業日 1 日以内(CA の現地タイムゾーン、祝日を除く)に連絡します。

申請情報が正しく、迅速に返答いただいた場合、OV および EV 証明書は通常 5 日以内に発行されます。30 日以内に申請が完了しなかった場合、自動的に却下されます。
5 営業日経過後も連絡(電話またはメール)が届かない場合は、アカウントマネージャーにお問い合わせください。
現在の進捗状況を確認するには、SSL 証明書管理 ページに移動し、対象の証明書を見つけ、[ステータス] 列の image

電話による連絡

CA のスタッフが証明書申請に記載された連絡先電話番号に電話をかけ、申請内容を検証します。連絡担当者の電話が通話可能であることを確認してください。

メールによる連絡

CA が証明書申請に記載された連絡先メールアドレスにドメイン検証用のメールを送信します。メールを速やかに確認し、本文の指示に従ってください。

メールの内容は証明書ブランドによって異なります。以下は参考例であり、実際に受信するメールが有効となります。

GlobalSign の例:

GlobalSign

image

CA レビュー結果の確認

ドメインの所有権検証が完了した後、CA が申請内容をレビューします。レビュー結果の処理方法については、「CA レビュー結果の処理」をご参照ください。

よくある質問

DNS 検証

自動 DNS 検証から他の方法に切り替えることはできますか?

いいえ。システムがドメインに対してデフォルトで 自動 DNS 検証 を選択した場合、手動 DNS 検証またはファイル検証への切り替えはできません。他の方法を使用するには、別の Alibaba Cloud アカウントで証明書を購入するか、ドメインの DNS を管理してください。

DNS レコードが有効になったかどうかを確認するにはどうすればよいですか?

Alibaba Cloud の ネットワーク検出ツール を使用します:

  1. 証明書の申請 パネルで、レコード値の表示 をクリックします。

    View Record Value

  2. DNS タブで、OK をクリックします。

    DNS tab

  3. プローブチェック結果 リストに表示される解決結果が、設定した DNS レコード値と一致する場合、レコードは有効です。

DNS レコードが見つかりません。 エラーが発生する理由は何ですか?

最も一般的な原因は、DNS プロバイダーで必要な TXT レコードが追加されていないことです。DNS プロバイダーのコンソールに移動し、レコードを追加してください。手順については、上記の「手動 DNS 検証」セクションをご参照ください。

その他の原因:

  • DNS 伝搬遅延。 DNS の変更は最大 1 時間かかることがあります(特に CA のサーバーへの伝搬)。レコードが正しく設定されている場合は、しばらく待ってから 検証 を再度クリックしてください。

  • ドメイン名の不一致。 証明書申請で指定したドメイン名は、DNS レコードを作成したドメインと完全に一致する必要があります。一致しない場合は、検証ページの 変更 をクリックしてドメイン名を修正し、申請を再送信してください。

    Alibaba Cloud DNS を使用していない場合は、DNS プロバイダーのコンソールでドメイン名を確認してください。

    Domain name match

    Modify domain

DNS レコードの値が不一致です。 エラーが発生する理由は何ですか?

このエラーは、CA がドメインの TXT レコードを検出しましたが、その値が不正であることを意味します。まず、証明書申請パネルから ホストレコード および レコード値 を再コピーすることをお勧めします。コピー&ペーストのミスが最も一般的な原因です。

Host Record and Record Value

確認すべき一般的なミス:

問題発生する現象
レコード値の末尾に余分なピリオドがある一部の DNS プロバイダーは、自動的にピリオドを追加します。ユーザーがさらにピリオドを追加すると、検証が失敗します。
ルートドメインが 2 回追加されている一部のプロバイダーは、ユーザーが入力した ホストレコード にドメインを自動的に追加します。ユーザーが完全なホスト名を入力した場合、_dnsauth.example.com.example.com のように重複し、検証が失敗します。
レコードタイプが誤っているレコードは TXT レコードである必要があります(CNAME または A レコードではありません)。

その他の原因:

  • サードパーティの DNS プロバイダー(例:DNSPod)。 Alibaba Cloud コンソールがエラーを報告しても、プロバイダー側でレコードが正しく設定されている場合があります。コンソールのエラーは無視し、CA による独自の検証が完了するのを待ってください。

  • DigiCert DV 証明書の TXT レコードの有効期限切れ。 DigiCert DV 証明書の TXT レコードは有効期限が 24 時間のみです。レコードが有効期限切れになっている場合:

    1. DNS プロバイダーから古い TXT レコードを削除します。

    2. 証明書管理サービスコンソール で証明書を再申請し、新しい TXT レコード値を取得します。

    3. 新しい TXT レコードを DNS 構成に追加します。

    この 24 時間の制限は GeoTrust DV 証明書には適用されません。GeoTrust のタイムスタンプは有効なままです。
  • DNS 伝搬遅延。 DNS の変更が CA のサーバーにまだ伝搬していない可能性があります。最大 1 時間まで待機し、DNS サービスが正常に動作していることを確認してください。

DNS 検証中に 検証がタイムアウトしました。再試行してください。 エラーが発生する理由は何ですか?

このエラーは、検証システムがドメインのネームサーバーを照会できていないことを示すネットワーク障害です。DNS プロバイダーに連絡し、ネットワーク接続に関する問題を調査してください。

DNS レコードは正しく伝搬していますが、コンソールでの検証が繰り返し失敗します。

コンソールのチェックは、実際のDNS伝播に遅れる場合があります。digがレコードが正しいことを示していても、検証サービスはキャッシュされた状態または遅延した状態から読み取っている可能性があります。1分待って、[検証] をもう一度クリックしてください。

CAA DNS レコードにより SSL 検証が失敗した場合の対処方法を教えてください。

認証局承認 (CAA) レコードは、ドメインに対して証明書を発行できる認証局 (CA) を制限します。選択した CA がリストに含まれていない場合、検証は失敗します。以下のいずれかの方法で修正してください:

ドメインが github.io を指す CNAME レコードを使用している場合、GitHub の CAA ポリシーを継承します。一時的に CNAME レコードを停止するか、trust-provider.comglobalsign.com、および sectigo.com をドメインの CAA レコードに追加してください。

ドメインが Alibaba Cloud DNS で管理されていない場合の DNS 検証の設定方法を教えてください。

オプション方法メリット
現在のプロバイダーでレコードを設定現在のドメインプラットフォームにログインし、SSL 証明書検証用の TXT レコードを追加します。必要に応じて、プロバイダーのサポートに連絡してください。迅速かつ直接的 — ドメインの転送は不要です。
ドメインを Alibaba Cloud に転送ドメインを Alibaba Cloud に転送する手順に従い、ドメイン名を Alibaba Cloud に転送 したうえで、Alibaba Cloud DNS コンソール で DNS レコードを一元管理します。
重要

ドメインの転送には、1 年分の更新料金の支払いが必要です。

今後の証明書更新および統合 DNS 管理に便利です。

ファイル検証

ファイルが見つかりません。 エラーが発生する理由は何ですか?

CA のサーバーが、予期される URL で検証ファイルを検出できませんでした。以下の点を確認してください:

  • ディレクトリが誤っている。 ファイルは、Web サイトのルートフォルダ内の /.well-known/pki-validation/ ディレクトリに配置されている必要があります。

  • コンソールの遅延。 ファイルが正しい場所にあり、HTTP および HTTPS の両方でアクセス可能である場合、コンソールのチェックが単に遅れている可能性があります。数分待ってから 検証 を再度クリックしてください。

ファイル検証中に 検証がタイムアウトしました。再試行してください。 エラーが発生する理由は何ですか?

このエラーは、CA のサーバーが Web サーバーに接続できなかったことを意味し、通常はネットワークまたはサーバー構成の問題です。

ポート 80 または 443 がブロックされています。 CA は HTTP(ポート 80)または HTTPS(ポート 443)経由で接続します。サーバーのファイアウォールおよびクラウドのセキュリティグループが、TCP ポート 80 および 443 へのインバウンドトラフィックを許可していることを確認してください。

ポート 443 が開放されているかどうかを確認するには、OS に応じた適切なコマンドを実行します:

Linux(RHEL/CentOS)

command -v nc > /dev/null 2>&1 || sudo yum install -y nc
# <your_server_public_ip> をサーバーのパブリック IP アドレスに置き換えます。
sudo ss -tlnp | grep -q ':443 ' || sudo nc -l 443 & sleep 1; nc -w 3 -vz <your_server_public_ip> 443

出力が Ncat: Connected to <your_server_public_ip>:443 の場合、ポート 443 は開放されています。

Linux(Debian/Ubuntu)

command -v nc > /dev/null 2>&1 || sudo apt-get install -y netcat
# <your_server_public_ip> をサーバーのパブリック IP アドレスに置き換えます。
sudo ss -tlnp | grep -q ':443 ' || sudo nc -l -p 443 & sleep 1; nc -w 3 -vz <your_server_public_ip> 443

出力が Connection to <your_server_public_ip> port [tcp/https] succeeded! または [<your_server_public_ip>] 443 (https) open の場合、ポート 443 は開放されています。

ポート 443 が閉じている場合は、セキュリティグループおよびファイアウォールで開放してください。

セキュリティグループでのポート 443 の開放(Alibaba Cloud ECS)

重要

以下の手順は Alibaba Cloud ECS を例としています。他のクラウドプラットフォームの場合は、公式ドキュメントをご参照ください。

Elastic Compute Service (ECS) インスタンス ページに移動し、対象のインスタンス名をクリックします。セキュリティグループの詳細 セクションで、「セキュリティグループルールの追加」に従い、アクション許可プロトコルカスタム TCP宛先(現在のインスタンス) を HTTPS(443)、送信元0.0.0.0/0(任意の場所) としてルールを追加します。

ファイアウォールでのポート 443 の開放(Linux)

次のコマンドを実行して、システムで有効なファイアウォールを特定します:

if command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet firewalld; then
    echo "firewalld"
elif command -v ufw >/dev/null 2>&1 && sudo ufw status | grep -qw active; then
    echo "ufw"
elif command -v nft >/dev/null 2>&1 && sudo nft list ruleset 2>/dev/null | grep -q 'table'; then
    echo "nftables"
elif command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet iptables; then
    echo "iptables"
elif command -v iptables >/dev/null 2>&1 && sudo iptables -L 2>/dev/null | grep -qE 'REJECT|DROP|ACCEPT'; then
    echo "iptables"
else
    echo "none"
fi

出力が none の場合、追加の操作は不要です。それ以外の場合は、対応するコマンドを実行してポート 443 を開放します:

firewalld

sudo firewall-cmd --permanent --add-port=443/tcp && sudo firewall-cmd --reload

ufw

sudo ufw allow 443/tcp

nftables

sudo nft add table inet filter 2>/dev/null
sudo nft add chain inet filter input '{ type filter hook input priority 0; }' 2>/dev/null
sudo nft add rule inet filter input tcp dport 443 counter accept 2>/dev/null

iptables

sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

iptables ルールを再起動後も維持するには:

  • RHEL/CentOS:

    sudo yum install -y iptables-services
    sudo service iptables save
  • Debian/Ubuntu:

    sudo apt-get install -y iptables-persistent
    sudo iptables-save | sudo tee /etc/iptables/rules.v4 >/dev/null

セキュリティグループおよびファイアウォールでのポート 443 の開放(Windows)

  1. セキュリティグループでのポート 443 の開放。

    1. ECS インスタンス ページに移動し、対象インスタンスのリージョンを選択してインスタンス名をクリックします。

    2. セキュリティグループすべてのイントラネットインバウンドルール をクリックし、承認ポリシー許可プロトコルの種類 が TCP、宛先ポート範囲 が HTTPS(443)、承認オブジェクトAnywhere (0.0.0.0/0) であるルールを確認します。

    3. 該当するルールが存在しない場合は、「セキュリティグループルールの追加」に従ってルールを追加します。

    重要

    以下の手順は Alibaba Cloud ECS を例としています。他のクラウドプラットフォームの場合は、公式ドキュメントをご参照ください。

  2. Windows ファイアウォールでのポート 443 の開放。

    1. スタートコントロールパネルシステムとセキュリティWindows ファイアウォールファイアウォールの状態の確認 をクリックします。

    2. ファイアウォールが無効になっている場合は、追加の操作は不要です。image

    3. ファイアウォールが有効になっている場合は、詳細設定インバウンドルール をクリックし、プロトコル が TCP、ローカルポート が 443、アクションブロック であるルールを探します。該当するルールが存在する場合は、右クリックして プロパティ を選択し、全般 タブで設定を 接続を許可 に変更し、適用 をクリックします。

代替手段: 必要なポートを開けられない場合は、申請をキャンセルして 手動 DNS 検証 を使用して再申請してください。

サーバーに URL リダイレクトが設定されています。

CA の検証ツールは 301 または 302 リダイレクトを追跡しません。リダイレクトの有無を確認するには、以下のコマンドを実行します:

wget -S http://<your_domain>/.well-known/pki-validation/<verification_file_name>

出力に 301 Moved Permanently または 302 Found が含まれる場合、Web サーバーの構成で /.well-known/pki-validation/ パスに影響を与えるリダイレクトルールを一時的に無効化してください。以下は、nginx.conf ファイルで 301 および 302 リダイレクトを特定・無効化する例です。

301 リダイレクト構成の例:

server {
    listen 80;
    server_name <your_root_domain> <your_www_subdomain>;
    return 301 <redirect_domain>$request_uri;
}

302 リダイレクト構成の例:

location /.well-known/ {
    return 302 <redirection_URL>
}

IP ホワイトリストが CA をブロックしています。

サーバーまたはネットワークファイアウォールが特定の IP アドレスへのアクセスを制限している場合、CA の検証サーバーがブロックされる可能性があります。ファイアウォールのホワイトリストに、以下の IP アドレス範囲を一時的に追加してください:

CA ベンダーIP アドレス
DigiCert216.168.247.9, 64.78.193.238, 216.168.249.9
GlobalSign211.123.204.251, 180.222.177.99, 114.179.250.1, 114.179.250.2, 27.115.18.218

ファイルの内容が無効です。 エラーが発生する理由は何ですか?

このエラーは、CA が検証 URL でファイルを検出しましたが、その内容が不正であることを意味します。一般的な原因:

  • ルートドメインおよび www サブドメインの両方で検証ファイルにアクセスできない。 CA は your-domain.com および www.your-domain.com の両方でファイルをチェックします。サーバーが両方のホスト名でファイルを提供できるようにしてください。例えば、以下の URL の両方がアクセス可能である必要があります:

    • http://aliyundoc.com/.well-known/pki-validation/fileauth.txt

    • http://www.aliyundoc.com/.well-known/pki-validation/fileauth.txt

  • 検証ファイルが開かれたり、編集されたり、名前が変更されたりした。 検証情報 パネルで 検出されたファイルの表示 をクリックし、その内容を最新の 検証ファイル と比較します。内容が異なる場合は、検証ファイルを再度ダウンロード・アップロードして、検証を再試行してください。

    文件信息

  • ファイルが HTTPS 経由でアクセスできない。 サイトが HTTPS を使用している場合、CA は安全な接続経由でファイルにアクセスしようとします。HTTPS 構成がファイルを正しく提供するように設定されているか、または検証パスに対する HTTP から HTTPS へのリダイレクトを一時的に無効化してください。

  • CDN が古いか不正なファイルを提供している。 CDN を使用している場合、エッジノードがファイルの古いバージョンをキャッシュしている可能性があります。中国国外の CDN ノードに検証ファイルを同期するか、中国国外の地域における CDN 加速を一時的に無効化してください。CDN を更新できない場合は、申請のキャンセル をクリックして 手動 DNS 検証 に切り替えてください。

  • 検証ファイルの有効期限が切れている。 ダウンロードしたファイルは 3 日間のみ有効です。コンソールから新しい検証ファイルをダウンロードし、サーバーにアップロードしてください。