edit-icon download-icon

証明書の形式の説明

最終更新日: Nov 13, 2019

HTTPS サービスを有効化する前に、証明書を設定する必要があります。Alibaba Cloud SSL Certificates Service で証明書を直接選択する、無料の証明書を申請する、または手動でカスタム証明書をアップロードすることができます。アップロードできるのは、PEM 形式の証明書のみです。他の形式の証明書と秘密鍵の場合、PEM 形式に変換する必要があります。

証明書の形式の要件

認証局 (CA) は、一般的に次のタイプの証明書を提供します。Alibaba Cloud DCDN では、Nginx 形式を使用します (証明書は .crt ファイル、秘密鍵は .key ファイル)。
1

  • 証明書がルート CA によって発行された場合、ユーザーは証明書を 1 つだけ受信します。

  • 中間 CA から複数の証明書で構成される証明書ファイルを取得した場合は、サーバー証明書と中間証明書を手動で結合してからアップロードする必要があります。

    結合ルール:サーバー証明書の後ろに、空白行を付けずに中間証明書を結合する必要があります。一般的に、CA は証明書の発行時、関連する説明を提供します。ルールに関する説明に注意してください。

証明書をアップロードする前に、証明書の形式が正しいことを確認してください。

ルート CA によって発行された証明書

Linux 環境では、証明書は PEM 形式です。1

証明書のルール:

  • -----BEGIN CERTIFICATE----------END CERTIFICATE----- を一緒にアップロードします。
  • 各行は 64 文字 ですが、最後の行は 64 文字未満にすることができます。

中間 CA によって発行された証明書の結合:

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

証明書の結合ルール:

  • 証明書の間に空白行を挿入しないでください。
  • 各証明書は、証明書のルールに準拠している必要があります。

RSA 秘密鍵の形式の要件

RSA 秘密鍵のルール:

  • openssl genrsa -out privateKey.pem 2048 コマンドを実行して、ローカル秘密鍵を生成します。privateKey.pem は秘密鍵ファイルです。

  • -----BEGIN RSA PRIVATE KEY----------END RSA PRIVATE KEY----- は、秘密鍵ファイルの開始と終了をそれぞれ示します。開始と終了を示すコンテンツも一緒にアップロードします。

  • 各行は 64 文字ですが、最後の行は 64 文字未満にすることができます。

前述のルールに基づいて、秘密鍵が -----BEGIN PRIVATE KEY-----, -----END PRIVATE KEY----- の形式で生成されていない場合、次のコマンドを実行して秘密鍵を変換します。

  1. openssl rsa -in old_server_key.pem -out new_server_key.pem

次に、new_server_key.pem のコンテンツを証明書と一緒にアップロードします。

証明書の形式の変換方法

SSL アクセラレーションでは、PEM 形式の証明書のみをサポートします。他の形式の証明書は、PEM 形式に変換する必要があります。変換には、OpenSSL ツールの使用を推奨します。他の一般的な証明書の形式を PEM に変換する方法を、以下に示します。

DER から PEM へ

一般的に、DER 形式は Java プラットフォームで使用されます。

  • 証明書の変換:

    1. openssl x509 -inform der -in certificate.cer -out certificate.pem
  • 秘密鍵の変換:

    1. openssl rsa -inform DER -outform pem -in privatekey.der -out privatekey.pem

P7B から PEM へ

一般的に、P7B 形式は Windows Server および Tomcat で使用されます。

  • 証明書の変換:
    1. openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer

outcertificat.cer から -----BEGIN CERTIFICATE----------END CERTIFICATE----- コンテンツを取り出し、証明書としてアップロードします。

  • 秘密鍵の変換:P7B 証明書には秘密鍵がないため、秘密鍵の部分ではなく証明書の部分のみをコンソールに入力する必要があります。

PFX から PEM へ

一般的に、PFX 形式は Windows Server で使用されます。

  • 証明書の変換:

    1. openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
  • 秘密鍵の変換:

    1. openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes

無料の証明書

無料の証明書を申請して、SSL アクセラレーションサービスを有効化することもできます。1 つのドメイン名につき 1 つの無料証明書を申請できます。アカウントごとの制限はありません。ワイルドカードドメイン名は、サポートされません。

  • 無料の証明書の申請プロセスには、5〜10 分かかります。待機中、処理をやり直して、カスタム証明書をアップロードするか、管理対象の証明書を選択することもできます。
  • 最初にどの証明書を有効にしたかにかかわらず、カスタム証明書、管理対象の証明書、無料の証明書を随時切り替えることができます。
  • 無料の証明書は 1 年間有効で、期限切れになると自動的に更新されます。
  • 本プロダクトを使用しているときに、HTTPS 設定を無効にし、その後で無料の証明書オプションを有効にした場合、無料の証明書が期限切れになっていなければ、以前に申請した無料の証明書が使用されます。無料の証明書オプションを有効にしたときに、証明書の期限が切れていた場合、システムは無料の証明書を再申請します。

その他の証明書の問題

  • 証明書を無効化、有効化、変更することができます。証明書を無効化すると、証明書情報は保持されなくなります。証明書を再度有効化するとき、証明書と秘密鍵をアップロードし直す必要があります。「HTTPS 設定」をご参照ください。
  • SNI 情報を含む SSL/TLS ハンドシェイクのみがサポートされています。
  • アップロードする証明書と秘密鍵が、一致していることを確認します。
  • 証明書の更新が有効になるまで、10 分ほどかかります。
  • パスワードで保護された秘密鍵は、サポートされていません。

証明書に関連する FAQ については、「証明書に関する質問」をご参照ください。