このトピックでは、プライベート認証局 (CA) を使用してクライアント証明書またはサーバー証明書を発行する方法について説明します。
前提条件
プライベート中間CAが購入され、有効にされる。 詳細については、「プライベートCAの購入と有効化」をご参照ください。
プライベート中間CAの 証明書の残り数量 パラメーターの値が0ではありません。 プライベート証明書にクォータを購入して割り当てる方法の詳細については、「プライベート証明書にクォータを割り当てる」をご参照ください。
手順
にログインします。Certificate Management Serviceコンソール.
左側のナビゲーションウィンドウで、 を選択します。 PCA証明書管理ページで、PCAが存在するリージョンを選択します。
プライベートca タブで、使用するプライベート中間CAを見つけ、操作 列の アプリケーション証明書 をクリックします。
アプリケーション証明書 パネルでパラメーターを設定し、申請の確認 をクリックします。 下表に、各パラメーターを説明します。
証明書アプリケーションを送信すると、すぐにプライベート証明書が発行されます。 次に、操作 列の 証明書リスト をクリックして、プライベート証明書に関する情報を表示します。
パラメーター
説明
証明書タイプ
サーバー証明書: サーバー証明書をアプリケーションサーバーにインストールする必要があります。
クライアント証明書: アプリケーションにアクセスするクライアントにクライアント証明書をインストールする必要があります。
氏名
このパラメーターは、Certificate TypeパラメーターをClient Certificateに設定した場合にのみ必要です。
クライアント証明書ホルダーの一意の識別子を指定します。
共通名 (cn)
このパラメーターは、Certificate TypeパラメーターをServer Certificateに設定した場合にのみ必要です。
証明書にバインドするドメイン名またはIPアドレスを指定します。
有効期間
プライベート証明書の有効期間を指定します。 有効な値は、プライベート中間CAのサービス期間に基づいて変化する。
プライベート中間CAのサービス期間が1年未満である場合、プライベート証明書の有効期間は、プライベート中間CAのサービス期間以下でなければならない。 たとえば、使用するプライベート中間CAのサービス期間が1か月の場合、プライベート中間CAから発行されるプライベート証明書の有効期間は31日を超えることはできません。 プライベート証明書の有効期間を長くする必要がある場合は、プライベート中間CAを更新してサービス期間を延長することを推奨します。 更新の詳細については、「ポリシーの更新」をご参照ください。
プライベート中間CAのサービス期間が1年以上である場合、プライベート証明書の有効期間は1年から100年の範囲とすることができる。
拡張san
プライベート証明書のサブジェクト代替名 (SAN) 属性を指定します。
証明書を複数のエンティティに適用する場合は、SAN属性を使用して他のエンティティに関する情報を追加できます。
サーバー証明書のドメイン名またはIPアドレスを入力できます。 クライアント証明書の電子メールアドレスまたはURI (Uniform Resource Identifier) を入力できます。
最大10個のSAN属性を追加できます。
説明SANは、SSL X.509標準で定義された拡張である。 SAN属性を使用するSSL証明書は、複数のドメイン名に関連付けることができます。
URIは、証明書が属するAlibaba Cloudリソースを一意に識別できます。 たとえば、URIは、プライベート証明書がデプロイされているECS (Elastic Compute Service) インスタンスを識別できます。
詳細
プライベート証明書の名前を指定し、プライベート証明書の会社情報と部門情報を追加する場合は、詳細 をクリックして関連パラメーターを設定します。
CRL アドレスが含まれているかどうか
デフォルトでは、証明書失効リスト (CRL) 機能が有効になっています。 詳細については、「CRL機能の使用」をご参照ください。
次に何をすべきか
プライベート証明書が発行された後、プライベート証明書をコンピューターにダウンロードし、クライアントまたはサーバーにプライベート証明書をインストールできます。 詳細については、「Download a private certificate」をご参照ください。