certificate Management Serviceコンソールでプライベート認証局 (CA) を作成して有効にすると、プライベートCAのプライベート中間CAからプライベート証明書を申請できます。 プライベート証明書は、企業内でのアプリケーションID認証とデータの暗号化および復号化に使用できます。 このトピックでは、プライベート証明書の設定方法について説明します。
背景情報
プライベート証明書を発行できるのは、プライベート中間CAのみです。 プライベート証明書は、サーバー証明書とクライアント証明書を含む端末エンティティ証明書です。 信頼できる通信は、プライベート証明書がサーバーとクライアントの両方にインストールされた後にのみ、サーバーとクライアントの間で確立できます。
初期設定
初めてプライベート証明書を設定する場合は、次の手順を実行します。
前提条件
プライベートCAを購入して有効にする. 詳細については、「プライベートCAの購入と有効化」をご参照ください。.
プライベート証明書の購入
プライベートルートCAによって提供されるプライベート証明書のデフォルトクォータがビジネス要件を満たさない場合は、プライベートルートCAのプライベート証明書の追加クォータを購入できます。 追加のクォータは、プライベートルートCAのすべてのプライベート中間CAに適用されます。
Certificate Management Serviceコンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。 PCA証明書管理ページで、PCAが存在するリージョンを選択します。
プライベートcaについて タブで必要なプライベートルートCAを見つけ、操作 列の 購入証明書 をクリックします。
購入証明書 パネルで、購入するプライベート証明書のクォータを入力します。 次に、購入 をクリックして支払いを完了します。
説明プライベートルートCA用に購入したプライベート証明書のクォータが特定のしきい値を超えた場合、超過した証明書に対しては課金されません。 しきい値の詳細については、アカウントマネージャーにお問い合わせください.
プライベート証明書のクォータの割り当て
プライベート証明書を発行できるのは、プライベート中間CAのみです。 プライベートルートCAはプライベート証明書を発行できません。 プライベート中間CAからプライベート証明書を申請する前に、プライベートルートCAのクォータをプライベート中間CAに割り当てる必要があります。 クォータは、プライベートルートCAとプライベート中間CAが次の条件を満たす場合にのみ割り当てられます。
プライベートルートCAとプライベート中間CAは有効状態です。
プライベートルートCAの残りのクォータは0ではありません。
Certificate Management Serviceコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。 PCA証明書管理ページで、PCAが存在するリージョンを選択します。
プライベートcaについて タブで必要なプライベートルートCAを見つけ、[残りの証明書クォータ] 列の 証明書の割り当て をクリックします。
では、証明書の割り当てパネルで、クォータを割り当てるプライベート中間CAを選択し、証明書の残り数量をクリックし、決定 をクリックします。
プライベート証明書の申請
プライベート中間CAの 証明書の残り数量 パラメーターの値が0でない場合にのみ、プライベート中間CAからプライベート証明書を申請できます。
Certificate Management Serviceコンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。 PCA証明書管理ページで、PCAが存在するリージョンを選択します。
プライベートcaについて タブで、必要なプライベート中間CAを見つけ、操作 列の アプリケーション証明書 をクリックします。
アプリケーション証明書パネルで、パラメータを設定し、申請の確認 をクリックします。
プライベート証明書は、証明書申請が送信された直後に発行されます。 プライベート証明書の発行後、証明書リスト ページでプライベート証明書の詳細を表示できます。 ページに移動するには、プライベート中間CAを見つけ、操作 列の 証明書リスト をクリックします。
サーバー証明書: サーバー証明書をアプリケーションサーバーにインストールする必要があります。
クライアント証明書: アプリケーションにアクセスするクライアントにクライアント証明書をインストールする必要があります。
PCAのサービス期間が1年未満の場合、プライベート証明書の有効期間はPCAのサービス期間以下でなければなりません。 たとえば、購入したPCAのサービス期間が1か月の場合、プライベート中間CAから発行されたプライベート証明書の有効期間は31日を超えることはできません。 プライベート証明書の有効期間を長くする必要がある場合は、PCAを更新してサービス期間を延長することを推奨します。 更新の詳細については、「ポリシーの更新」をご参照ください。
PCAのサービス期間が1年以上の場合、プライベート証明書の有効期間は1年から100年の範囲です。
証明書を複数のエンティティに適用する必要がある場合は、SAN属性を使用して他のエンティティに関する情報を追加できます。
サーバー証明書のドメイン名またはIPアドレスを入力できます。 クライアント証明書の電子メールアドレスまたはURI (Uniform Resource Identifier) を入力できます。
最大10個のSAN属性を追加できます。
パラメーター | 説明 |
証明書タイプ | |
共通名 (cn) | プライベート証明書ホルダーの一般名。 |
有効期間 | プライベート証明書の有効期間。 プライベート証明書の有効期間は、プライベート認証局 (PCA) のサービス期間によって異なります。 |
拡張san | プライベート証明書のサブジェクト代替名 (SAN) 属性。 説明 SANは、SSL X.509標準で定義された拡張である。 SAN属性を使用するSSL証明書は、複数のドメイン名に関連付けることができます。 URIは、証明書が属するAlibaba Cloudリソースを一意に識別できます。 たとえば、URIは、プライベート証明書がデプロイされているECS (Elastic Compute Service) インスタンスを識別できます。 |
詳細 | プライベート証明書の名前を指定し、プライベート証明書の会社情報と部門情報を追加する場合は、詳細 をクリックしてパラメーターを設定します。 |
CRL ステータス | デフォルトでは、証明書失効リスト (CRL) 機能が有効になっています。 詳細については、「CRL機能の使用」をご参照ください。 |
プライベート証明書のダウンロード
プライベート証明書がプライベート中間CAから発行された後、プライベート証明書をダウンロードし、インストールと使用のために指定されたユーザーにプライベート証明書を配信できます。
Certificate Management Serviceコンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。 PCA証明書管理ページで、PCAが存在するリージョンを選択します。
プライベートcaについて タブで、必要なプライベート中間CAを見つけ、操作 列の 証明書リスト をクリックします。
On the証明書リストページで、ダウンロードするプライベート証明書を見つけて、ダウンロードで、操作列を作成します。
証明書のダウンロード ダイアログボックスで、証明書の形式を選択し、確認してダウンロードする をクリックします。
プライベート証明書のインストール
プライベート証明書をダウンロードした後、アプリケーションサーバーにサーバー証明書をインストールし、クライアントブラウザーにクライアント証明書をインストールする必要があります。 サーバー証明書のインストール操作は、certificate Management Serviceを使用して購入した証明書のインストール操作と同じです。 詳細については、「インストールの概要」をご参照ください。
プライベート証明書の取り消し
プライベート証明書が不要になった場合は、プライベート証明書の有効期限が切れる前に、certificate Management Serviceコンソールでプライベート証明書を取り消すことができます。
失効または削除されたプライベート証明書は、企業の内部環境によって信頼されなくなり、復元または再有効化することはできません。 作業は慎重に行ってください。
Certificate Management Serviceコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。 PCA証明書管理ページで、PCAが存在するリージョンを選択します。
プライベートcaについて タブで、必要なプライベート中間CAを見つけ、操作 列の 証明書リスト をクリックします。
On the証明書リストページで、取り消すプライベート証明書を見つけて、失効で、操作列を作成します。
は、確認メッセージで、失効 をクリックします。
プライベート証明書はすぐに取り消されます。 プライベート証明書の ステータス 列の値が 失効 に変更された後、プライベート証明書のリストからプライベート証明書を削除できます。