このトピックでは、Alibaba Cloud Certificate Management Serviceに関連する基本概念を紹介します。
デジタル証明書
デジタル証明書は、認証局 (CA) によって署名された文書である。 証明書には、公開鍵の所有者と公開鍵に関する情報が含まれています。 これは、CAによってWebサイトに発行される信頼できる資格情報です。 証明書には、公開鍵、証明書名、およびCAによって提供されるデジタル署名が含まれている必要があります。
デジタル証明書は、特定の期間のみ有効です。
CA
CAは認証局の略です。
CAは、eコマース取引において信頼できる第三者機関である。 CAは、公開鍵の有効性を検証する責任がある。
有効期間
2020年9月1日から、すべてのCAが発行した証明書は最大397日間有効です。これは13か月に相当します。 したがって、証明書管理サービスから購入した公式のSSL証明書は、13か月以内に有効です。 フリータイプの個々のテスト証明書は3ヶ月間有効です。 Proタイプの個々のテスト証明書は12ヶ月間有効です。
SSL
SSLは、ブラウザとWebサイト間の伝送におけるデータ暗号化に使用されるプロトコルです。 データ送信中のデータ改ざんやデータ盗難を防ぎます。
SSL 証明書
SSL証明書は、CAによってWebサイトに発行される信頼できる資格情報です。 通信にSSLプロトコルを使用し、WebサイトのID認証と暗号化された送信を実装します。
SSLは、TCP/IPネットワーク上でのアプリケーションデータ伝送のための暗号化メカニズムを提供する。 アプリケーションのプロトコルには、HTTP、Telnet、FTPなどがあります。 SSLは公開鍵を使用してTCP/IP接続を介して送信されるデータを暗号化し、メッセージの整合性を確保し、サーバーとクライアントを認証します。 クライアント認証はオプションです。
SSL証明書は公開鍵暗号を採用しており、一対の鍵を使用してデータを暗号化および復号化します。 各ユーザーは、復号化と署名のために誰にも開示されない秘密鍵を作成します。 ユーザはまた、公開鍵を作成し、暗号化および署名検証のためにこの鍵をユーザのグループに開示する。
webサーバーにSSL証明書をインストールすると、webサーバーのHTTPSが有効になります。 WebサイトはHTTPS経由でデータを送信できます。 これにより、Webサイトとクライアントブラウザー間の信頼できる暗号化接続を確立し、送信中のデータのセキュリティを確保できます。
証明書の秘密鍵の詳細については、「公開鍵と秘密鍵とは何ですか? 」をご参照ください。
ルート証明書
ルート証明書は、CAから発行された自己署名証明書である。 ルート証明書は、信頼チェーン内の信頼アンカーであり、CAから発行されたすべての下位証明書の信頼性を検証するために使用されます。
ほとんどの場合、信頼できるCAのルート証明書は、Windows、macOS、Linuxディストリビューションなどのオペレーティングシステム、Google ChromeやMozilla Firefoxなどの主流ブラウザ、iOSやAndroidなどのモバイルオペレーティングシステムを実行するモバイルデバイスにプリインストールされています。 CAから発行されたSSL証明書をインストールすると、SSL証明書の信頼性が自動的に検証されます。
中間証明書
ルート証明書とSSL証明書の間に中間証明書があります。 中間証明書は、親CAから下位CAに発行される。
中間証明書は、SSL証明書がルートCAから直接発行されるときに生じるリスクを減らすために使用されます。 たとえば、発行時にエラーが発生した場合、またはルート証明書を取り消す必要がある場合、ルート証明書を使用して署名されたすべての証明書は信頼できません。 リスクを防ぐために、中間証明書の秘密鍵は通常、ユーザーが申請するSSL証明書に署名するために使用されます。
証明書チェーン
証明書チェーンには、ルート証明書、中間証明書、およびエンドエンティティ証明書であるSSL証明書が含まれます。 証明書チェーンは、SSL証明書の信頼性と有効性を検証するために使用されます。 例えば、クライアントがウェブアプリケーションサーバとのHTTPS接続を確立すると、サーバは、SSL証明書と、クライアントに必要とされ得る中間証明書とを送信する。 クライアントは、信頼できるルート証明書が見つかるまで、親証明書を使用してSSL証明書が発行されているかどうかを検証します。 証明書の有効期限や信頼できないCAなどの問題により検証が失敗した場合、HTTPS接続を確立できません。
HTTPS
HTTPS は、HTTP と SSL を組み合わせたものです。 これはHTTPの安全なバージョンであり、SSLに基づいてWebサイト通信を暗号化します。
webサイトのサーバーにSSL証明書をインストールすると、HTTPSが有効になり、ブラウザとwebサーバー間のSSL暗号化チャネルが有効になります。 これにより、双方向の暗号化伝送が可能になり、伝送中のデータ改ざんやデータ漏洩を防ぎます。
ドメイン名
ドメイン名は、IPアドレスの表現である。 ドメイン名は、ピリオド (.) で区切られた名前の文字列で構成され、データ送信中にサーバーまたはサーバーのグループを識別するために使用されます。
単一のドメイン名は最も単純な構造です。 例: www.aliyundoc.com。
ワイルドカードドメイン名は、その親ドメイン名および親ドメイン名のすべての第1レベルのサブドメインと一致することができる。
ワイルドカード証明書
ワイルドカード証明書は、ワイルドカードドメイン証明書とも呼ばれます。 * .aliyundoc.comなどのワイルドカードドメイン名が証明書にバインドされている場合、証明書はワイルドカード証明書になります。
マルチドメインワイルドカード証明書は、複数のワイルドカードドメイン名がバインドされている証明書です。 証明書管理サービスでは、単一のワイルドカードドメイン名がバインドされているワイルドカード証明書のみを申請できます。 マルチドメインのワイルドカード証明書を申請することはできません。 マルチドメインのワイルドカード証明書を取得するには、同じブランドとタイプの複数の証明書を組み合わせることができます。 詳細については、「証明書の結合」をご参照ください。
ハイブリッド証明書
ハイブリッド証明書は、バインドされたドメイン名にシングルドメイン名とワイルドカードドメイン名の両方が含まれる証明書です。 たとえば、証明書が * .aliyundoc.comおよびdemo.example.comのドメイン名にバインドされている場合、証明書はハイブリッド証明書になります。
証明書管理サービスでは、ハイブリッド証明書を申請することはできません。 ハイブリッド証明書を取得するには、同じブランドとタイプの複数の証明書を組み合わせることができます。 詳細については、「証明書の結合」をご参照ください。
NGINX
NGINXは軽量のwebサーバーであり、高度に同時接続を処理します。 インターネットメッセージアクセスプロトコル (IMAP) またはPost Officeプロトコルバージョン3 (POP3) に準拠したリバースプロキシサーバーまたは電子メールプロキシサーバーとして構成できます。 NGINXはBSDのようなライセンスに基づいています。 NGINXは、Linux、Windows、FreeBSD、Solaris、AIX、macOSなどのさまざまなオペレーティングシステムで実行されます。 リバースプロキシ、ロードバランシング、動的および静的分離に使用できます。
Tengine
Tengineは、淘宝網によって開始されたwebサーバープロジェクトです。 NGINXのすべての機能をサポートし、NGINX構成と互換性があります。
パテ
PuTTYは、Telnet、SSH、rlogin、純粋なTCP、およびシリアルインターフェイスを使用して操作を実行できる接続ソフトウェアです。 LinuxおよびWindowsオペレーティングシステムをリモートで管理できます。
Xshell
Xshellは強力なターミナルエミュレータです。 SSH1およびSSH2クライアントとWindowsでTelnetをサポートします。 Xshellは、Windowsとは異なるオペレーティングシステムを実行するサーバーをリモートで管理できます。 XshellはVT100、VT220、VT320、Xterm、Linux、SCO ANSI、およびANSI端末をサポートし、従来のTelnetクライアントを置き換えるためのさまざまな端末画面ビューを提供します。
CentOS
Community Enterprise Operating System (CentOS) は、エンタープライズグレードのLinuxディストリビューションであり、Red Hat enterprise Linuxのソースから派生しています。 CentOSはオープンソースで、無料です。
CSR
証明書署名要求 (CSR) ファイルには、サーバーと会社に関する情報が含まれています。 SSL証明書を申請するときは、CSRファイルをCAに送信する必要があります。 CAは、ルート証明書の秘密鍵を使用してCSRファイルに署名し、証明書を発行するための公開鍵ファイルを生成します。