すべてのプロダクト
Search

このプロダクト

    :証明書の形式の説明

    ドキュメントセンター

    :証明書の形式の説明

    最終更新日:Mar 20, 2020

    HTTPS サービスを有効化する前に、証明書を設定する必要があります。Alibaba Cloud SSL Certificates Service で証明書を直接選択する、無料の証明書を申請する、または手動でカスタム証明書をアップロードすることができます。アップロードできるのは、PEM 形式の証明書のみです。他の形式の証明書と秘密鍵の場合、PEM 形式に変換する必要があります。

    証明書の形式の要件

    認証局 (CA) は、一般的に次のタイプの証明書を提供します。Alibaba Cloud DCDN では、Nginx 形式を使用します (証明書は .crt ファイル、秘密鍵は .key ファイル)。
    1

    • 証明書がルート CA によって発行された場合、ユーザーは証明書を 1 つだけ受信します。

    • 中間 CA から複数の証明書で構成される証明書ファイルを取得した場合は、サーバー証明書と中間証明書を手動で結合してからアップロードする必要があります。

      結合ルール:サーバー証明書の後ろに、空白行を付けずに中間証明書を結合する必要があります。一般的に、CA は証明書の発行時、関連する説明を提供します。ルールに関する説明に注意してください。

    証明書をアップロードする前に、証明書の形式が正しいことを確認してください。

    ルート CA によって発行された証明書

    Linux 環境では、証明書は PEM 形式です。1

    証明書のルール:

    • -----BEGIN CERTIFICATE----------END CERTIFICATE----- を一緒にアップロードします。
    • 各行は 64 文字 ですが、最後の行は 64 文字未満にすることができます。

    中間 CA によって発行された証明書の結合:

    -----BEGIN CERTIFICATE-----

    -----END CERTIFICATE-----

    -----BEGIN CERTIFICATE-----

    -----END CERTIFICATE-----

    -----BEGIN CERTIFICATE-----

    -----END CERTIFICATE-----

    証明書の結合ルール:

    • 証明書の間に空白行を挿入しないでください。
    • 各証明書は、証明書のルールに準拠している必要があります。

    RSA 秘密鍵の形式の要件

    RSA 秘密鍵のルール:

    • openssl genrsa -out privateKey.pem 2048 コマンドを実行して、ローカル秘密鍵を生成します。privateKey.pem は秘密鍵ファイルです。

    • -----BEGIN RSA PRIVATE KEY----------END RSA PRIVATE KEY----- は、秘密鍵ファイルの開始と終了をそれぞれ示します。開始と終了を示すコンテンツも一緒にアップロードします。

    • 各行は 64 文字ですが、最後の行は 64 文字未満にすることができます。

    前述のルールに基づいて、秘密鍵が -----BEGIN PRIVATE KEY-----, -----END PRIVATE KEY----- の形式で生成されていない場合、次のコマンドを実行して秘密鍵を変換します。

    1. openssl rsa -in old_server_key.pem -out new_server_key.pem

    次に、new_server_key.pem のコンテンツを証明書と一緒にアップロードします。

    証明書の形式の変換方法

    SSL アクセラレーションでは、PEM 形式の証明書のみをサポートします。他の形式の証明書は、PEM 形式に変換する必要があります。変換には、OpenSSL ツールの使用を推奨します。他の一般的な証明書の形式を PEM に変換する方法を、以下に示します。

    DER から PEM へ

    一般的に、DER 形式は Java プラットフォームで使用されます。

    • 証明書の変換: 

      1. openssl x509 -inform der -in certificate.cer -out certificate.pem

    • 秘密鍵の変換:

      1. openssl rsa -inform DER -outform pem -in privatekey.der -out privatekey.pem

    P7B から PEM へ

    一般的に、P7B 形式は Windows Server および Tomcat で使用されます。

    • 証明書の変換:
      1. openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer

    outcertificat.cer から -----BEGIN CERTIFICATE----------END CERTIFICATE----- コンテンツを取り出し、証明書としてアップロードします。

    • 秘密鍵の変換:P7B 証明書には秘密鍵がないため、秘密鍵の部分ではなく証明書の部分のみをコンソールに入力する必要があります。

    PFX から PEM へ

    一般的に、PFX 形式は Windows Server で使用されます。

    • 証明書の変換: 

      1. openssl pkcs12 -in certname.pfx -nokeys -out cert.pem

    • 秘密鍵の変換:

      1. openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes

    無料の証明書

    無料の証明書を申請して、SSL アクセラレーションサービスを有効化することもできます。1 つのドメイン名につき 1 つの無料証明書を申請できます。アカウントごとの制限はありません。ワイルドカードドメイン名は、サポートされません。

    • 無料の証明書の申請プロセスには、5〜10 分かかります。待機中、処理をやり直して、カスタム証明書をアップロードするか、管理対象の証明書を選択することもできます。
    • 最初にどの証明書を有効にしたかにかかわらず、カスタム証明書、管理対象の証明書、無料の証明書を随時切り替えることができます。
    • 無料の証明書は 1 年間有効で、期限切れになると自動的に更新されます。
    • 本プロダクトを使用しているときに、HTTPS 設定を無効にし、その後で無料の証明書オプションを有効にした場合、無料の証明書が期限切れになっていなければ、以前に申請した無料の証明書が使用されます。無料の証明書オプションを有効にしたときに、証明書の期限が切れていた場合、システムは無料の証明書を再申請します。

    その他の証明書の問題

    • 証明書を無効化、有効化、変更することができます。証明書を無効化すると、証明書情報は保持されなくなります。証明書を再度有効化するとき、証明書と秘密鍵をアップロードし直す必要があります。「HTTPS 設定」をご参照ください。
    • SNI 情報を含む SSL/TLS ハンドシェイクのみがサポートされています。
    • アップロードする証明書と秘密鍵が、一致していることを確認します。
    • 証明書の更新が有効になるまで、10 分ほどかかります。
    • パスワードで保護された秘密鍵は、サポートされていません。

    証明書に関連する FAQ については、「証明書に関する質問」をご参照ください。