すべてのプロダクト
Search

このプロダクト

    Certificate Management Service:SSL 証明書とは

    ドキュメントセンター

    Certificate Management Service:SSL 証明書とは

    最終更新日:Mar 03, 2026

    SSL 証明書 (現在の業界標準は TLS 証明書) はデジタル証明書の一種です。Web サイトの ID を検証し、ブラウザとサーバー間の通信を暗号化します。信頼された認証局 (CA) によって発行され、HTTPS プロトコルの基盤となり、データ伝送のセキュリティと完全性を保証します。このトピックでは、SSL 証明書の中核的価値、仕組み、および利用フローについて説明します。

    重要

    SSL 証明書サービスは V2.0 に順次切り替わっています。更新時期はユーザーによって異なる場合があります。V1.0 と V2.0 の違いについては、SSL 証明書サービスのバージョン変更に関する説明をご参照ください。

    コアバリュー

    SSL/TLS 証明書をデプロイすることは、現代の Web サイトにとって不可欠なセキュリティ対策です。これにより、以下の課題が解決されます。

    • データ暗号化:クライアント (ブラウザなど) と Web サーバー間で送信されるデータを暗号化します。これにより、機密データが不正に傍受されたり、改ざんされたりするのを防ぎます。

    • ID 検証:サーバーの正当性を検証します。これにより、ユーザーが偽の Web サイトやフィッシングサイトにアクセスするのを防ぎます。

    • ブラウザの信頼性向上:ブラウザの「保護されていない通信」という警告をなくし、アドレスバーにセキュリティロックアイコンを表示します。

    • コンプライアンスの確保:等級保護 2.0 や PCI DSS (Payment Card Industry Data Security Standard) などのネットワークセキュリティおよびデータ保護規制の要件を満たします。

    • 検索エンジン最適化 (SEO):主要な検索エンジンは HTTPS の Web サイトのインデックス登録を優先するため、検索順位の向上に役立ちます。

    仕組み

    SSL/TLS プロトコルは、ID 検証のための非対称暗号化データ伝送のための対称暗号化を組み合わせたハイブリッド暗号化メカニズムを使用します。

    証明書の発行と検証 (信頼チェーンの構築)

    1. リクエストの生成:サーバーはキーペア (RSA 2048 ビットまたは ECC 256 ビット) を生成します。公開鍵と組織情報を証明書署名リクエスト (CSR) にカプセル化します。

    2. CA による署名:CA はドメインの所有権を検証した後、CSR から公開鍵と申請者情報を抽出します。次に、発行者情報、有効期間、拡張フィールドを組み合わせて証明書の内容を構築します。CA は自身の秘密鍵を使用してデジタル署名を行い、X.509 準拠の証明書を生成します。

    3. 信頼チェーンの確立:ブラウザはプリインストール済みのルート証明書を使用して、サーバー証明書の署名を段階的に検証し、信頼チェーンを確立します。

    暗号化セッションの確立 (TLS ハンドシェイク)

    1. ハンドシェイクの開始:クライアントは ClientHello メッセージを送信します。このメッセージには、サポートされているプロトコルバージョンと暗号スイートのリストが含まれます。

    2. 証明書の配信:サーバーは ServerHello メッセージで応答し、証明書チェーンを送信します。

    3. ID 検証:クライアントは証明書の有効期間とドメイン名が一致することを確認します。証明書失効リスト (CRL) または Online Certificate Status Protocol (OCSP) を使用して、証明書が失効していないことを確認します。一部のデプロイメントでは、このプロセスを最適化するために OCSP Stapling を使用します。

    4. キー交換:両者はキー交換メカニズムを通じてセッションキーを生成します。

      • ECDHE モード (推奨):両者は一時的なキーペアを生成し、公開鍵を交換します。それぞれが独立して同じセッションキーを計算します。

      • RSA モード (従来):クライアントはプリマスターシークレットを生成し、サーバーの公開鍵で暗号化して送信します。サーバーがそれを復号化した後、両者はセッションキーを導出します。

    5. 対称通信:ハンドシェイクが完了すると、すべてのデータはセッションキーを使用して対称暗号化され、送信されます。

    説明

    証明書内の公開鍵 (RSA、ECC、または SM2 アルゴリズムに基づく) は、サーバーの ID を検証し、キー交換のためのセキュアチャネルを確立します。実際のデータ伝送では、パフォーマンスを確保するために、ネゴシエートされた対称キー (AES など) を使用して暗号化します。詳細については、公開鍵と秘密鍵とはをご参照ください。

    利用フロー

    image

    証明書の購入

    1. 必要に応じて適切な証明書タイプを選択します。詳細については、SSL 証明書選択ガイドをご参照ください。

    2. 商用証明書の購入をご参照のうえ、証明書の購入情報を入力します。

    証明書の作成

    重要

    SSL 証明書管理 (V1.0、新規購入停止) にのみ適用されます。SSL 証明書管理 V2.0 では、購入後に証明書を作成する必要はありません。

    購入時にドメイン名を紐付けなかった場合は、証明書を作成して購入したクォータをドメイン名に関連付けます。作成時に、システムは 迅速な問題 オプションを提供します。

    • 迅速な問題 を選択した場合:申請情報を入力する必要があります。証明書が作成されると、システムは自動的に証明書リクエストを CA に提出します。ユーザーは ドメイン所有権の検証を完了するだけです。

    • 迅速な問題 を選択しない場合:作成後、証明書コンソールにログインして手動でリクエストを記入し、提出する必要があります。詳細な手順については、認証局 (CA) へのリクエスト提出をご参照ください。

    説明

    証明書リストには、ドメイン名に正常にアタッチされた証明書のみが表示されます。ドメイン名にアタッチされていない証明書は、証明書の作成 操作を完了した後に表示されるようになります。

    証明書のリクエスト

    1. 認証局 (CA) へのリクエスト提出

      CA に申請を提出します。証明書の種類 (証明書に紐付けるドメイン名や IP、連絡先、会社、営業許可証など) に応じて対応する情報を入力し、証明書リクエストを CA に提出します。具体的な操作については、証明書のリクエストをご参照ください。

    2. ドメイン所有権の検証

      ドメイン所有権の検証。CA に申請を提出する際に、ドメイン名の所有権を検証します。詳細については、ドメイン所有権の検証をご参照ください。

      • ドメイン認証 (DV) 証明書は、自動dns検証手動dns検証ファイル検証 の 3 つの検証方法をサポートしています。

      • EV (Extended Validation) または組織認証 (OV) 証明書:CA から送信されるドメイン検証メールの内容に基づいて検証を完了します。

    3. CA による審査

      CA による審査。申請を提出し、ドメイン所有権の検証を完了した後、CA の審査を待ちます。審査の進捗状況と結果を確認するには、CA 審査結果の処理をご参照ください。ドメイン認証 (DV) 証明書の平均発行時間は 1~15 分、組織認証 (OV) および EV (Extended Validation) 証明書は 5 暦日です。

    証明書のデプロイ

    CA の審査に合格し、証明書のステータスが「発行済み」になったら、証明書ファイルをご利用の Web サーバー (Nginx、Apache、IIS など) またはクラウド製品にデプロイします。これにより、サイトで HTTPS が有効になります。具体的な操作については、SSL 証明書のデプロイをご参照ください。

    重要

    サーバーが中国本土にある場合、ICP 登録を完了する必要があります。そうでない場合、Web サイトはアクセスできなくなります。

    • Alibaba Cloud サーバーをご利用の場合は、Alibaba Cloud ICP 登録システムにアクセスして、Web サイトの ICP 登録を完了してください。詳細については、ICP 登録プロセスをご参照ください。

    • Alibaba Cloud サーバーをご利用でない場合は、ご利用のサーバープロバイダーの ICP 登録システムまたはMIIT ICP 登録 Web サイトにアクセスして登録を完了してください。

    次のステップ

    証明書の更新

    重要

    SSL 証明書管理 V2.0 は現在、証明書の更新をサポートしていません。この機能は将来のアップデートで利用可能になる予定です。

    SSL 証明書の有効期限が切れた後は、速やかに更新または再申請してください。新しい SSL 証明書をインストールして、Web サイトの暗号化接続とセキュリティを維持します。具体的な操作については、SSL 証明書の更新と有効期限の処理をご参照ください。

    証明書の失効

    証明書が使用されなくなった場合は、失効させてください。具体的な操作については、SSL 証明書の失効と削除をご参照ください。

    警告

    証明書の失効は元に戻せません。失効後、CA は CRL または OCSP を通じて証明書の失効ステータスを公開します。ブラウザやクライアントは、証明書の有効性チェック中にそれを無効とみなし、セキュリティ警告をトリガーします。

    よくある質問

    購入後に証明書が見つからない場合はどうすればよいですか?

    購入時にドメイン名情報を入力しなかった場合、証明書を作成する権利が付与されます。SSL 証明書を作成し、ドメイン名を紐付けるまで、証明書は証明書リストに表示されません。

    SSL 証明書は中国語ドメイン名をサポートしていますか?

    はい、サポートしています。中国語ドメイン名を紐付ける場合、証明書を申請する前に、コンソールのプロンプトに従って Punycode に変換する必要があります。トランスコーディングツールを使用して変換することもできます。詳細については、中国語ドメイン名の変換をご参照ください。

    DNS プロバイダーが Alibaba Cloud でない場合でも、Alibaba Cloud の SSL 証明書を申請できますか?

    はい、できます。ドメイン所有権の検証を完了するだけでよく、これはご利用の DNS プロバイダーとは無関係です。

    ソリューション

    方法

    メリット

    現在のプロバイダーでレコードを設定

    現在のドメイン名プラットフォームにログインし、Alibaba Cloud からの SSL 証明書検証レコード (TXT) を追加します。

    説明

    サポートが必要な場合は、プロバイダーのサポートにお問い合わせください。

    迅速かつ直接的です。ドメイン名の移管は必要ありません。

    ドメインを Alibaba Cloud に移管

    ドメイン名を Alibaba Cloud に移管する手順に従います。完了すると、Alibaba Cloud DNS コンソールですべての DNS レコードを管理できます。

    重要

    ドメインを移管するには、1 年分の更新料を支払う必要があります。

    将来の証明書更新やドメイン名の一元管理に便利です。