Certificate Management Service コンソールでプライベート認証局 (CA) を作成して有効化した後、中間 CA からプライベート証明書をリクエストできます。これらの証明書は、内部アプリケーションの身分認証、データ暗号化、および復号に使用されます。このトピックでは、プライベート証明書の管理方法について説明します。
背景情報
プライベート証明書を発行できるのは、プライベート中間 CA のみです。プライベート証明書は、サーバー証明書やクライアント証明書などのエンドエンティティ証明書です。サーバーとクライアントの両方にプライベート証明書をインストールして初めて、両者間で信頼された通信チャネルを確立できます。
初期設定
初めてプライベート証明書を設定するときは、以下のステップに従ってください。
前提条件
プライベート CA を購入し、有効化していること。詳細については、「プライベート CA の購入と有効化」をご参照ください。
プライベート証明書の購入
プライベートルート CA に含まれる証明書リソースの数が不十分な場合は、ルート CA 用に追加の証明書を購入できます。これにより、ルート CA 傘下のすべての中間 CA が発行できる証明書の合計数が増加します。
Certificate Management Service コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。[PCA 証明書管理] ページで、PCA サービスが配置されているリージョンを選択します。
[プライベートca] タブで、対象のルート CA を見つけ、[操作] 列の [購入証明書] をクリックします。
[購入証明書] パネルで、購入する証明書の数を入力し、[購入] をクリックして支払いを完了します。
説明1 つのルート CA で購入した証明書の累計枚数が特定のしきい値を超えた場合、Certificate Management Service は超過分の証明書料金を免除します。しきい値の詳細については、アカウントマネージャーにお問い合わせください。
プライベート証明書の割り当て
ルート CA は証明書を発行できません。プライベート証明書を発行できるのは中間 CA のみです。プライベート証明書をリクエストする前に、ルート CA から中間 CA に証明書リソースを割り当てる必要があります。証明書を割り当てるには、ルート CA と中間 CA が次の条件を満たしている必要があります:
ルート CA と中間 CA が [有効] 状態であること。
ルート CA に利用可能な証明書リソースがあること。
Certificate Management Service コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。[PCA 証明書管理] ページで、PCA サービスが配置されているリージョンを選択します。
[プライベートca] タブで、対象のルート CA を見つけ、[残数/合計] 列の [証明書の割り当て] をクリックします。
[証明書の割り当て] パネルで、証明書を割り当てる中間 CA を選択し、中間 CA の [証明書の残り数量] を設定してから、[決定] をクリックします。
プライベート証明書の申請
中間 CA の [証明書の残り数量] の値が 0 でない場合にのみ、プライベート証明書をリクエストできます。
Certificate Management Service コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。[PCA 証明書管理] ページで、PCA サービスが配置されているリージョンを選択します。
[プライベートca] タブで、対象の中間 CA を見つけ、[操作] 列の [アプリケーション証明書] をクリックします。
[アプリケーション証明書] パネルで、必要な証明書情報を入力し、[申請の確認] をクリックします。
リクエストを送信すると、プライベート CA 証明書はすぐに発行されます。プライベート証明書が発行された後、中間 CA の [操作] 列にある [証明書リスト] をクリックすると、[証明書リスト] ページで発行された証明書の情報を表示できます。
[サーバー証明書]:アプリケーションサーバーにインストールするために使用します。
[クライアント証明書]:アプリケーションにアクセスするクライアントにインストールするために使用します。
サービス期間が 1 年未満の場合、証明書の有効期間は PCA サービスのサービス期間を超えることはできません。たとえば、1 か月間の PCA サービスを購入した場合、発行できる証明書の最大有効期間は 31 日です。より長い証明書の有効期間が必要な場合は、PCA サービスを更新して期間を延長してください。更新の詳細については、「更新ポリシー」をご参照ください。
サービス期間が 1 年以上の場合、証明書の有効期間は 1 年から 100 年の範囲で設定できます。
証明書を複数のエンティティに適用する必要がある場合は、SAN 拡張を使用して他のエンティティの情報を追加できます。
サーバー証明書の場合は、サービスドメイン名またはサーバー IP アドレスを入力できます。クライアント証明書の場合は、ユーザーのメールボックスアドレスまたは Uniform Resource Identifier (URI) を入力できます。
最大 10 個の SAN 拡張を追加できます。
設定項目 | 説明 |
[証明書タイプ] | |
共通名 (cn) | プライベート証明書エンティティのコモンネーム。 |
[有効期間] | プライベート証明書の有効期間。 証明書の有効期間は、購入した中間 CA のサービス期間に関連しています。詳細は次のとおりです: |
[拡張san] | プライベート証明書のサブジェクト代替名 (SAN) 拡張。 説明 サブジェクト代替名 (SAN) は、SSL X.509 標準で定義された拡張機能です。SAN フィールドを使用する SSL 証明書は、証明書がサポートするドメイン名を拡張できるため、1 つの証明書で複数のドメイン名をサポートできます。 Uniform Resource Identifier (URI) は、証明書が属する Alibaba Cloud リソースを識別するために使用されます。たとえば、URI はプライベート証明書がデプロイされている Elastic Compute Service (ECS) インスタンスを識別できます。 |
詳細 | 証明書に証明書名、会社、部署の情報を追加するには、[詳細] をクリックして設定します。 |
[CRL アドレスが含まれているかどうか] | この機能はデフォルトで有効になっています。証明書失効リスト (CRL) の詳細については、「CRL サービス」をご参照ください。 |
プライベート証明書のダウンロード
中間 CA がプライベート証明書を発行した後、証明書をダウンロードし、対応するエンティティに配布してインストールおよび使用できます。
Certificate Management Service コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。[PCA 証明書管理] ページで、PCA サービスが配置されているリージョンを選択します。
[プライベートca] タブで、対象の中間 CA を見つけ、[操作] 列の [証明書リスト] をクリックします。
[証明書リスト] ページで、対象のプライベート証明書を見つけ、[操作] 列の [ダウンロード] をクリックします。
[証明書のダウンロード] ダイアログボックスで、証明書のフォーマットを選択し、[確認してダウンロードする] をクリックします。
プライベート証明書のインストール
プライベート証明書をダウンロードした後、アプリケーションサーバーにサーバー証明書をインストールし、クライアントブラウザにクライアント証明書をインストールする必要があります。サーバー証明書のインストールプロシージャは、Certificate Management Service から購入した SSL 証明書のインストールプロシージャと同じです。詳細については、「SSL 証明書のデプロイ」をご参照ください。
プライベート証明書の失効
プライベート証明書が有効期限切れになる前に不要になった場合は、Certificate Management Service コンソールで失効させることができます。
プライベート証明書が失効または削除されると、内部環境では信頼されなくなり、回復または再有効化することはできません。この操作は慎重に実行してください。
Certificate Management Service コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。[PCA 証明書管理] ページで、PCA サービスが配置されているリージョンを選択します。
[プライベートca] タブで、対象の中間 CA を見つけ、[操作] 列の [証明書リスト] をクリックします。
[証明書リスト] ページで、対象のプライベート証明書を見つけ、[操作] 列の [失効] をクリックします。
[確認] ダイアログボックスで、[失効] をクリックします。
失効を確認すると、プライベート証明書は直ちに失効します。証明書の [ステータス] は [失効] に変わります。その後、証明書リストからプライベート証明書を削除できます。