すべてのプロダクト
Search

このプロダクト

    Certificate Management Service:ドメイン名所有権の確認に関する FAQ

    ドキュメントセンター

    Certificate Management Service:ドメイン名所有権の確認に関する FAQ

    最終更新日:Feb 26, 2025

    SSL 証明書の申請を送信した後、証明書にバインドされているドメイン名の所有権を確認するために、認証局(CA)と協力する必要があります。 SSL Certificates Service は、ドメイン名所有権を確認するためのさまざまな方法をサポートしています。このトピックでは、確認プロセスに関するよくある質問への回答を提供します。これにより、事前に問題を特定して解決し、確認の失敗を減らすことができます。

    DV 証明書

    ドメイン検証(DV)証明書では、手動のドメインネームシステム(DNS)検証、ファイル検証、および自動 DNS 検証という検証方法がサポートされています。次のセクションでは、検証方法ごとの一般的な問題の原因と解決策について説明します。

    手動 DNS 検証

    DNS レコードが有効かどうかを確認するにはどうすればよいですか?

    Alibaba Cloud は、 [ネットワーク検出ツール] を提供しており、DNS レコードが有効かどうかを確認できます。手順:

    1. 証明書申請 パネルで、レコード値の表示 をクリックします。

      image

    2. [ネットワーク検出ツール] タブで、[OK] をクリックします。

      image

    3. [解決結果] がドメイン名の DNS レコード値と一致する場合、DNS レコードは有効になります。

    SSL Certificates Service コンソールに [DNS レコードが見つかりません] メッセージが表示された場合はどうすればよいですか?

    次のセクションでは、この問題の一般的な原因と解決策について説明します。

    1. DNS レコードが追加されていません。

      解決策

      DNS サービスプロバイダーのシステムでドメイン名の TXT レコードを手動で追加して、検証を完了します。詳細については、「手動 DNS 検証」をご参照ください。

    2. SSL Certificates Service コンソールで DNS レコード検証が実行されるときに遅延が発生します。

      有効な DNS レコードを追加しても、[DNS レコードが見つかりません] メッセージが表示される場合は、SSL Certificates Service コンソールでの検証プロセスに遅延が発生している可能性があります。

      解決策

      しばらく待って、操作を実行しないでください。

    3. 証明書にバインドされているドメイン名が、DNS レコードのドメイン名と異なります。
      説明

      サードパーティの DNS サービスを使用している場合は、サービスプロバイダーに連絡してドメイン名を確認してください。

      解決策

      1. ドメイン名の一貫性を確認します。image

      2. [証明書の申請] パネルの [情報の確認] ステップで、[変更] をクリックし、バインドするドメイン名を再入力して、検証のために情報を送信します。image

    SSL Certificates Service コンソールに [DNS レコードで不一致が見つかりました] メッセージが表示された場合はどうすればよいですか?SSL Certificates Service コンソールにメッセージが表示されますか?

    次のセクションでは、この問題の一般的な原因と解決策について説明します。

    1. DNS レコード値が正しく構成されていません。

      DNS ホストレコード値と TXT レコード値が正しく構成されていません。

      解決策

      [証明書の申請] パネルの [ホストレコード] と [レコード値] の値を DNS レコード構成にコピーします。

      image

    2. DNSPod または別のサードパーティの DNS サービスを使用してドメイン名を解決しています。

      DNSPod または別のサードパーティの DNS サービスを使用してドメイン名を解決しています。この場合、存在しないドメイン名に対して返される値が、予期される値と異なる場合があります。これはさらに DNS 構成エラーにつながる可能性があります。

      解決策

      SSL Certificates Service コンソールに表示される関連エラーメッセージは無視し、DNSPod または別のサービスプロバイダーの DNS サービスで DNS レコードを構成し、CA が検証を完了するまで待ちます。 SSL Certificates Service コンソールでの検証結果は参考値です。コンソールに検証結果が [失敗] と表示されても、CA の検証プロセスには影響しません。実際の検証と発行の結果については、CA に確認する必要があります。

    3. DigiCert DV 証明書の DNS レコードが 24 時間以上前に生成されました。

      DigiCert DV 証明書を使用する場合、ドメイン名に対して生成されたレコード値は 24 時間のみ有効です。 24 時間後、レコード値は変更されます。最新の TXT レコード値が DNS サービスプロバイダーの設定と異なる場合、ドメイン名所有権の確認は失敗します。

      説明

      GeoTrust DV 証明書のタイムスタンプの有効期限は切れません。

      解決策

      DNS サービスプロバイダーから元の TXT レコード値を削除し、SSL Certificates Service コンソール にログインし、証明書を再申請し、最新の TXT レコード値を取得し、DNS サービスプロバイダーのプラットフォームに移動して、DNS サービスプロバイダーに新しい TXT レコード値を追加します。

      説明

      DNS サービスプロバイダーのドメイン名コントロールパネルで既存の TXT レコードを変更する場合、新しいレコードが有効になるまでに 2 時間以上かかります。 TXT レコードを作成すると、レコードはすぐに有効になります。検証を完了するには、TXT レコードを作成することをお勧めします。検証に合格したら、TXT レコードを削除できます。

    4. ドメイン名の TXT レコードが、中国国外の権威 DNS サーバーにタイムリーに同期されていません。
      ドメイン名に対して動的解決が有効になっていますが、ドメイン名の TXT レコードが中国国外の権威 DNS サーバーにタイムリーに同期されていません。

      解決策

      動的解決が想定どおりに実行され、権威 DNS サーバーが TXT レコードを解決できることを確認します。

    SSL Certificates Service コンソールに「検証がタイムアウトしました。再試行してください」メッセージが表示された場合はどうすればよいですか?[証明書管理サービス] コンソールにメッセージが表示されますか?

    次のセクションでは、この問題の一般的な原因と解決策について説明します。

    1. DNS サーバーでネットワーク例外が発生します。

      解決策

      DNS サーバーのサービスプロバイダーに連絡して、ネットワーク例外を確認して修正してください。

    ファイル検証

    SSL Certificates Service コンソールに [ファイルが見つかりません] メッセージが表示された場合はどうすればよいですか?

    次のセクションでは、この問題の一般的な原因と解決策について説明します。

    1. 検証ファイルがサーバーの検証ディレクトリにアップロードされていません。

      検証ファイルがサーバーの .well-known/pki-validation/ 検証ディレクトリにアップロードされていません。

      解決策:

      検証ファイルをサーバーの検証ディレクトリにアップロードします。詳細については、「ファイル検証」をご参照ください。

    2. SSL Certificates Service コンソールでのファイル検証に遅延が発生します。

      検証ファイルはサーバーの検証ディレクトリにアップロードされ、Httpsアドレス パラメーターまたは Httpアドレス パラメーターで指定された URL を使用して検証ファイルにアクセスできます。ただし、コンソールには引き続き [ファイルが見つかりません] メッセージが表示されます。

      解決策:

      この問題は、SSL Certificates Service コンソールでのファイル検証の遅延が原因である可能性があります。検証が完了するまで待ちます。

    SSL Certificates Service コンソールに「検証がタイムアウトしました。再試行してください」メッセージが表示された場合はどうすればよいですか?

    次のセクションでは、この問題の一般的な原因と解決策について説明します。

    1. DNS サーバーのネットワークで例外が発生します。

      解決策:

      DNS サーバーのサービスプロバイダーに連絡して、ネットワーク例外を確認して修正してください。

    2. DNS サーバーでポート 80 または 443 が無効になっています。

      解決策 1

      DNS サーバーでポート 80 または 443 を有効にします。

      解決策 2

      証明書申請 パネルに移動し、申請の取り消し をクリックし、[ドメイン検証方法] パラメーターの値を 手動dns検証 に変更します。

    3. ドメイン名の Web サイトは、中国以外の地域からのアクセスをサポートしていません。

      DigiCert や GlobalSign などの国際ブランド の証明書を申請したが、証明書にバインドされているドメイン名の Web サイトが中国以外の IP アドレスからのアクセスをサポートしていない場合、CA はファイル検証を実行できません。

      解決策

      1. ドメイン名所有権検証ツールを使用して、中国以外の IP アドレスからのアクセスをサポートしていない Web サイトのドメイン名を除外します。

      2. CA が DNS サーバーにアクセスしてドメイン名所有権の確認を完了できるように、CA の IP アドレスを DNS サーバーのホワイトリストに一時的に追加します。 CA の IP アドレスの取得方法の詳細については、アカウントマネージャーにお問い合わせください

        説明

        証明書が発行された後、別の証明書を申請するときに不明な問題が発生しないように、CA の IP アドレスをホワイトリストから削除することをお勧めします。

    4. 個々のテスト証明書にバインドされているドメイン名 に機密キーワードが含まれています。

      個々のテスト証明書にバインドするドメイン名に、edu、gov、org、jp、pay、bank、live、nuclear などの機密キーワードが含まれている場合、証明書の発行に失敗する可能性があります。

      解決策:

      OV 証明書、EV 証明書、または vTrus 証明書を購入します。 vTrus は中国の証明書ブランドです。

    SSL Certificates Service コンソールに「ファイルの内容が無効です」メッセージが表示された場合はどうすればよいですか?

    次のセクションでは、この問題の一般的な原因と解決策について説明します。

    1. 古い検証ファイルが DNS サーバーに存在します。

      解決策:

      1. 証明書申請 パネルで、検出されたファイルの表示 をクリックし、検出されたファイルに関する情報を記録します。文件信息

      2. DNS サーバーにログインして、検出されたファイルを削除します。

        ほとんどの場合、検出されたファイルは Web ルートディレクトリ/.well-known/pki-validation ディレクトリに保存されます。

      3. 検証ファイルをダウンロードして DNS サーバーに再アップロードします。詳細については、「ファイル検証」をご参照ください。

    2. fileauth.txt ファイルに HTTPS URL 経由でアクセスできません。

      特定の Web サイトページで HTTPS が有効になっていますが、fileauth.txt 検証ファイルには HTTP URL 経由でのみアクセスできます。

      解決策 1

      検証ファイルに HTTP URL と HTTPS URL の両方でアクセスできることを確認します。

      解決策 2

      影響を受けるページの HTTPS を一時的に無効にします。

    3. 検証ファイルの URL がリダイレクトされます。

      検証ファイルにアクセスするために使用される HttpsアドレスHttpアドレス に対して、301 または 302 リダイレクトが有効になっています。

      解決策

      1. 検証ファイルの URL に対してリダイレクトが有効になっているかどうかを確認します。

        • wget -S URL コマンドを実行して、リダイレクトが有効になっているかどうかを確認できます。

        • ブラウザのアドレスバーのアドレス変更に基づいて、リダイレクトが有効になっているかどうかを確認できます。

      2. 関連設定をキャンセルして、リダイレクトを無効にします。

    4. Alibaba Cloud CDN がアクティブになっています。ただし、検証ファイルは中国以外の CDN ノードに同期されていません。

      解決策 1

      検証ファイルを中国本土以外の CDN ノードに同期するか、中国本土以外のリージョンで CDN アクセラレーションを一時的に無効にします。

      解決策 2

      CDN ノードが存在するサーバーで変更操作を実行できない場合は、証明書申請 パネルに移動し、申請の取り消し をクリックしてから、ドメイン検証方法パラメーターの値を 手動dns検証 に変更します。

    5. 検証ファイルのタイムスタンプの有効期限が切れています。

      解決策

      SSL Certificates Service コンソール にログインし、最新の検証ファイルをダウンロードして、Web サイトの指定されたディレクトリにファイルをアップロードします。

    ワイルドカードドメイン名はファイル検証をサポートしていますか?

    いいえ、ワイルドカードドメイン名はファイル検証をサポートしていません。詳細については、「[お知らせ] ワイルドカード証明書を申請する場合、ファイル検証はサポートされなくなりました」をご参照ください。

    自動 DNS 検証

    証明書申請者の Alibaba Cloud アカウントで Alibaba Cloud DNS がアクティブになっており、DV 証明書が申請されている場合、Alibaba Cloud はドメイン名を自動的に識別し、[自動 DNS 検証] 方法を選択します。

    自動検証方法を変更できますか?

    いいえ、検証方法が [自動 DNS 検証] に設定されている場合、検証方法を変更することはできません。別の検証方法を使用するには、別の Alibaba Cloud アカウントに切り替えて、証明書を再購入します。購入が完了したら、ドメイン名の所有権検証を実行できます。詳細については、「証明書申請者の Alibaba Cloud アカウントで Alibaba Cloud DNS がアクティブになっていません」をご参照ください。

    OV 証明書と EV 証明書

    CA が証明書申請を受信すると、CA はドメイン名検証のためのメールをメールアドレスに送信するか、電話番号に電話をかけます。

    メールを確認するだけで、電話に出なくてもドメイン名所有権の確認を完了できますか?

    はい、できますが、メールに返信して状況を説明する必要があります。

    検証メールにはどのような情報が含まれていますか?メールの受信者は誰ですか?

    CA は、ドメイン名と注文情報を検証メールに含め、証明書の申請時に指定された連絡先のメールアドレスにメールを送信します。詳細については、「連絡先の管理」をご参照ください。メールの内容は、証明書のブランドによって異なります。

    重要

    次のサンプルメールは参考値です。

    GlobalSign

    image

    その他

    コンソールに検証が合格したと表示されているのに、証明書が 申請審査中 状態のままなのはなぜですか?

    SSL Certificates Service コンソールでの検証結果は参考値です。 コンソールに検証結果が [合格] と表示されても、CA が検証を完了した、または証明書を発行したことを示すものではありません。 実際の検証と発行の結果については、CA に確認する必要があります。ほとんどの場合、DV 証明書は 1 ~ 15 分以内に発行され、EV 証明書または OV 証明書は 5 暦日以内に発行されます。特別なシナリオでは、証明書申請レビューに必要な時間が長くなる場合があります。次のセクションでは、問題の一般的な原因と解決策について説明します。

    1. ドメイン名に CAA レコードがあります。

      ドメイン名所有者が認証局承認(CAA)レコードを追加して CA にドメイン名の証明書の発行を承認した場合、証明書の CA は証明書の発行時に CAA レコードを確認します。 CA が承認されていない場合、CA は証明書申請を拒否します。

      説明

      CAA レコード

      CAA は、無効な証明書の発行を減らすための制御手段です。 2017 年 9 月 8 日以降、CA は証明書の発行時に CAA レコードを必須で確認します。ドメイン名所有者は、DNS 設定で CAA レコードを追加できます。

      解決策

      ドメイン名の所有者アカウントを使用して、Alibaba Cloud DNS コンソール にログインします。次に、CAA レコードを削除するか、必要な CA の名前を CAA レコードに追加します。次に、証明書を再申請します。

      重要

      GitHub Page サービスを使用し、CNAME レコードを追加してドメイン名を github.io ドメイン名にマッピングする場合、github.io の CAA ポリシーが参照 され、証明書の発行に影響します。この場合、CNAME レコードを一時停止するか、証明書が発行される前に trust-provider.com、globalsign.com、および sectigo.com を CAA レコードに追加できます。

    2. ドメイン名に 機密キーワード が含まれています。

      ドメイン名に bank、pay、live などの機密キーワードが含まれている場合、手動レビューがトリガーされる可能性があり、完了までに長い時間がかかります。

      解決策

      手動レビューの結果を待ちます。申請が承認されない場合は、ドメイン名を変更して新しい証明書を申請できます。

    DNS レコードが有効になっているにもかかわらず、コンソールに検証の失敗が表示されるのはなぜですか?

    ファイル検証方法または DNS 検証方法のどちらを使用しているかに関係なく、SSL Certificates Service コンソールで DNS レコード検証が実行されるときに遅延が発生します。操作を実行する必要はありません。検証が完了するまで待ちます。

    コンソールにドメイン名所有権の確認が合格したと表示されているのに、証明書が検証失敗状態のままなのはなぜですか?

    SSL Certificates Service コンソールでの検証結果は参考値です。 コンソールに検証結果が [合格] と表示されても、CA が検証を完了した、または証明書を発行したことを示すものではありません。 詳細については、「証明書申請レビューの失敗の考えられる理由は何ですか?解決策は何ですか?」をご参照ください。

    サードパーティの DNS サービスに登録されているドメイン名に Alibaba Cloud SSL 証明書を申請できますか?

    はい、サードパーティの DNS サービスに登録されているドメイン名に Alibaba Cloud SSL 証明書を申請できます。

    • 証明書を申請するときに、DNS サービスプロバイダーに制限はありません。 SSL 証明書の申請を送信した後、証明書の申請中に DNS サービスプロバイダーのプラットフォームに DNS レコードを追加するだけで、CA と協力してドメイン名所有権の確認を完了できます。

    • 外部ドメイン名を Alibaba Cloud に転送できます。ドメイン名を Alibaba Cloud に転送する場合、1 年間の更新料金を支払う必要があります。この場合、転送料金はドメイン名の 1 年間の更新価格です。料金の詳細については、https://www.alibabacloud.com/en/domain/pricing?_p_lc=1&spm=a3c0i.145322.9153399020.1.29764635QTfgOK をご覧ください。

    内部ネットワークで SSL 証明書を使用できますか?

    はい、内部ネットワークで SSL 証明書を使用できます。ただし、CA はインターネット経由でドメイン名所有権の確認を完了する必要があります。検証プロセス中はパブリックアクセスを有効にする必要があります。検証が完了したら、パブリックアクセスを無効にできます。発行された証明書の使用方法環境に制限はありません。