デフォルトでは、有償の SSL 証明書は 1 年間有効です。 証明書の有効期限が切れると、Web サイトにアクセスできなくなります。また、その他の潜在的なビジネスリスクが発生する可能性があります。 証明書の有効期間に注意し、期限が切れる前に証明書を更新することを推奨します。 このトピックでは、証明書更新の条件とプロセス、および更新後に実行できる操作について説明します。
更新シナリオ
以下に、更新シナリオについて説明します。
証明書の残りの有効期間が 30 暦日未満の場合、証明書は間もなく期限が切れます。 Web サイトへの安全なアクセスを確保するには、Certificate Management Service コンソールで証明書を更新する必要があります。 詳細については、「残りの有効期間が 30 暦日未満の証明書」をご参照ください。
証明書の残りの有効期間が 30 暦日を超えていても、証明書の更新を忘れてしまうことが心配な場合は、Certificate Management Service コンソールで事前に証明書を更新できます。 詳細については、「残りの有効期間が 30 暦日を超える証明書」をご参照ください。
証明書の有効期限が既に切れている場合、証明書を更新することはできません。 この場合、新しい証明書を購入する必要があります。 新しい証明書は、証明書が発行された日から 1 年間有効です。 証明書の購入方法の詳細については、「SSL 証明書の購入」をご参照ください。
証明書を更新した後、新しい証明書は元の証明書とは無関係です。 新しい証明書の申請書を提出し、発行後に新しい証明書をインストールする必要があります。
残りの有効期間が 30 暦日未満の証明書
シナリオ
期限切れが近い証明書を更新する際は、以下の要件が満たされていることを確認してください。
証明書の残りの有効期間が 30 暦日未満である必要があります。 [購入の更新] ボタンは、証明書の有効期限が切れる 30 暦日以前にのみ使用できます。
証明書は GlobalSign によって発行されます。
残りの有効期間
以下のシナリオでは、更新する証明書の残りの有効期間を新しい証明書に引き継ぐことはできません。 新しい証明書の有効期間は、証明書の発行日から 1 年間です。 たとえば、新しい証明書が 2022 年 7 月 20 日に発行され、有効期間は 2022 年 7 月 20 日に開始、2023 年 7 月 20 日に終了だったとします。
新しい証明書の仕様は、元の証明書の仕様とは異なります。仕様には、ドメインタイプ、証明書カテゴリ、ブランドの選択などがあります。
元の証明書は、アップロードされたサードパーティの証明書です。
他のシナリオでは、更新した証明書の残りの有効期間を新しい証明書に引き継ぐことができます。 証明書を更新した後、新しい証明書の有効期限は元の証明書の有効期限の 1 年後になります。 たとえば、証明書の有効期限が 2022 年 8 月 1 日だったとします。 証明書が更新され、新しい証明書が 2022 年 7 月 20 日に発行された場合、新しい証明書の有効期間は 2022 年 7 月 20 日に始まり、2023 年 8 月 1 日に終了します。
手順
Certificate Management Serviceコンソールにログインします。
[SSL 証明書] ページで [証明書の管理] または [アップロード済み証明書の管理] タブをクリックし、証明書ステータスドロップダウンリストから [期限切れ間近] を選択します。
[証明書の管理] タブには、Certificate Management Service を使用して購入した証明書が表示されます。
[アップロード済み証明書の管理] タブには、Certificate Management Service を使用して管理するサードパーティの証明書が表示されます。
重要Certificate Management Service を使用してアップロードされたサードパーティ証明書を更新する場合、新しい証明書の有効期間は、新しい証明書の発行日から 1 年間です。 元の証明書の残りの有効期間を、新しい証明書に引き継ぐことはできません。
証明書リストで、更新する証明書を確認し、[操作] 列の [更新] をクリックします。
[証明書の更新] パネルで指示に従って支払いを完了します。
[証明書の更新] パネルでは、更新する証明書と同じパラメーターの値が自動的に指定されます。 設定を変更する必要はありません。
証明書が更新されると、新しい証明書は、期限切れが近い元の証明書の下に表示されます。
アイコンは、新しい証明書の左側に表示されます。 このアイコンは、新しい証明書が元の証明書に関連付けられていることを示します。 元の証明書の有効期間は変更されません。 新しい証明書の状態は “申請中” です。 新しい証明書の申請書を提出し、認証局 (CA) のスタッフと協力して、ドメイン名の所有権の検証と申請資料の審査を完了する必要があります。 証明書の申請が CA によって承認されると、新しい証明書が発行されます。 詳細については、「証明書の申請」をご参照ください。
説明関連付けられた元の証明書が更新された後、新しい証明書の [ステータス] 列に “アクティブ化待ち” が表示された場合、新しい証明書はアクティブ化されていません。 元の証明書の有効期間が 30 日未満の場合、システムによって新しい証明書の申請が行われます。 申請の失敗によりビジネスへの影響を避けるには、CA のスタッフと協力して証明書の申請を完了する必要があります。
“アクティブ化待ち” 状態の証明書がキャンセルされた場合、消費された証明書のクォータは戻されます。
次のステップ
証明書の更新後、新しい証明書を Alibaba Cloud サービスにデプロイしたり、Web サーバーにインストールしたりするには、以下の操作を実行しておく必要があります。
新しい証明書の申請書を提出します。 詳細については、「証明書の申請」をご参照ください。
新しい証明書の発行後、証明書を Alibaba Cloud サービスにデプロイするか、証明書を Web サーバーにインストールします。
詳細については、「インストールの概要」をご参照ください。
証明書のデプロイまたはインストール後、以下の操作を実行して、新しい証明書が適用されているかどうかを確認します。
新しい証明書を Web サーバーにインストールした後、証明書が適用されているかどうかどうかを確認するには、Web ブラウザーを使用してお客様の Web サイトにアクセスします。 次に、ブラウザのアドレスバーに表示される
アイコンをクリックします。 新しい証明書の有効期間が表示された場合、新しい証明書が適用されています。 Linux サーバーでは、以下のコマンドを実行して、新しい証明書の有効期間を表示することもできます。
以下のコマンド例では、ドメイン名が “www.aliyundoc.com” となっています。 実際に使用する場合は、“www.aliyundoc.com” の部分をお客様のドメイン名に置き換える必要があります。 echo | openssl s_client -servername www.aliyundoc.com -connect www.aliyundoc.com:443 2>/dev/null | openssl x509 -noout -dates
残りの有効期間が 30 暦日を超える証明書
証明書の残りの有効期間が 30 暦日を超えている場合は、事前に証明書を更新できます。 証明書が適切な時期に更新され、更新のし忘れを防止できます。
Certificate Management Serviceコンソールにログインします。
[SSL Certificates] ページで、必要な証明書が表示されているタブをクリックします。
[証明書の管理] タブには、Certificate Management Service を使用して購入した証明書が表示されます。 証明書リストで、更新する証明書を確認し、[操作] 列の
> [更新] を選択します。 [アップロード済み証明書の管理] タブには、Certificate Management Service を使用して管理するサードパーティの証明書が表示されます。 証明書リストで、更新する証明書を確認し、[操作] 列の [更新] をクリックします。
[更新 (ホスティングベース)] ダイアログボックスで、[今すぐ購入] をクリックします。
重要証明書のクォータが十分な場合、更新によりクォータが消費されます。