証明書管理サービスコンソールで Alibaba Cloud サービスに証明書をデプロイする - Certificate Management Service

証明書管理サービスコンソールでデプロイメントタスクを作成して、単一の SSL 証明書をクラウドサービスにデプロイしたり、複数の SSL 証明書を複数のクラウドサービスに一度にデプロイしたりできます。デプロイメントタスクを実行する時点を指定できます。システムは、指定された時点でデプロイメントタスクを開始します。このトピックでは、サポートされている Alibaba Cloud サービス、適用可能なシナリオ、およびデプロイメントプロセスについて説明します。

説明

デプロイ機能を初めて使用する場合は、画面の指示に従って認証を完了する必要があります。認証が完了すると、デプロイメントタスクを作成できます。詳細については、「Alibaba Cloud リソースにアクセスするための証明書管理サービスの認証」をご参照ください。
Elastic Compute Service（ECS）インスタンスやシンプルなアプリケーションサーバーなどのクラウドサーバーに証明書をデプロイする方法の詳細については、「証明書管理サービスコンソールで Alibaba Cloud のシンプルなアプリケーションサーバーまたは ECS インスタンスに証明書をデプロイする」をご参照ください。

証明書のデプロイで問題が発生した場合は、アカウントマネージャーにお問い合わせください。

サポートされているクラウドサービスとアプリケーションシナリオ

重要

以下は、デプロイメントタスクのシナリオです。

初めて証明書をデプロイする場合：初めて証明書をデプロイする場合は、証明書管理サービスコンソールで関連操作を実行できます。
既存の証明書を更新する場合：証明書管理サービスコンソールにすでにデプロイされている証明書を更新できます。

カテゴリ	サービス	デプロイメントタスクのシナリオ	証明書の構成シナリオ	参照資料
Serverless	Serverless App Engine - Gateway Routing	既存の証明書を更新する	Application Load Balancer（ALB）および Classic Load Balancer（CLB）でゲートウェイルーティングの HTTPS を構成する	詳細については、以下のトピックをご参照ください。 ALB インスタンスを使用してアプリケーションのゲートウェイルーティングを構成する CLB インスタンスを使用してアプリケーションのゲートウェイルーティングを構成する
Serverless	Function Compute	既存の証明書を更新する	HTTP 関数を構成する	初めて証明書をデプロイする方法の詳細については、「カスタムドメイン名を構成する」をご参照ください。
ミドルウェア	マイクロサービスエンジン（MSE）- クラウドネイティブゲートウェイ	既存の証明書を更新する	クラウドネイティブゲートウェイルーティングを構成する	初めて証明書をデプロイする方法の詳細については、「ドメイン名を作成する」をご参照ください。
ミドルウェア	API Gateway	既存の証明書を更新する	HTTPS ドメイン名経由の API アクセスを構成する	初めて証明書をデプロイする方法の詳細については、「HTTPS ドメイン名を使用して API を呼び出す」をご参照ください。
ネットワーキングと CDN	Global Accelerator (GA)	既存の証明書を更新する	HTTPS ドメイン名を使用してアクセスアクセラレーションを構成する	詳細については、以下のトピックをご参照ください。 HTTPS 経由で HTTP Web サイトへのアクセスを高速化する GA インスタンスを使用して HTTPS 経由で複数のドメイン名を高速化する
	ALB NLB	既存の証明書を更新する	サーバー証明書を使用して HTTPS リクエストを転送するように HTTPS リスナーを構成する説明 Server Load Balancer（SLB）コンソールにクライアント証明書をデプロイする必要があります。クライアント証明書のデプロイ方法の詳細については、「データ転送のためのエンドツーエンドの HTTPS 暗号化を構成する」をご参照ください。	詳細については、以下のトピックをご参照ください。応用負荷分散alb：HTTPS リスナーを追加する Network Load Balancer (NLB)：TCP/SSL リスナーを追加する
	ALB NLB	既存の証明書を更新する
	Alibaba Cloud CDN (CDN)	初めて証明書をデプロイする既存の証明書を更新する	HTTPS セキュアアクセラレーションを構成する	CDN コンソールで証明書をデプロイする方法の詳細については、「SSL 証明書を構成する」をご参照ください。
	Dynamic Content Delivery Network (DCDN)	初めて証明書をデプロイする既存の証明書を更新する	HTTPS セキュアアクセラレーションを構成する	DCDN コンソールで証明書をデプロイする方法の詳細については、「SSL 証明書を構成する」をご参照ください。
ストレージ	Object Storage Service (OSS)	既存の証明書を更新する	HTTPS 経由の OSS アクセスを構成する説明 CDN 高速化ドメイン名を OSS バケットにマッピングする場合は、Alibaba Cloud CDN コンソールで既存の証明書を置き換える必要があります。	初めて証明書をデプロイする方法の詳細については、「カスタムドメイン名の証明書をホストする」をご参照ください。
セキュリティ	Web Application Firewall (WAF)	既存の証明書を更新する	CNAME レコードモードで Web サービスを WAF に追加する	詳細については、以下のトピックをご参照ください。 WAF 3.0：WAF 3.0 にドメイン名を追加する WAF 2.0：WAF 2.0 にドメイン名を追加する
セキュリティ	Anti-DDoS	既存の証明書を更新する	Anti-DDoS にドメイン名を追加する	初めて証明書をデプロイする方法の詳細については、「SSL 証明書をアップロードする」をご参照ください。
AI & Machine Learning	Platform for AI (PAI)	既存の証明書を更新する	Elastic Algorithm Service（EAS）：専用ゲートウェイにカスタムドメイン名を使用する	初めて証明書をデプロイする方法の詳細については、「専用ゲートウェイにカスタムドメイン名を使用する」をご参照ください。

説明

他の Alibaba Cloud サービスに証明書をデプロイする場合、または SM 証明書をデプロイする場合は、アカウントマネージャーにお問い合わせいただくか、関連サービスのドキュメントをご参照ください。 SM 証明書は、CDN、DCDN、および Anti-DDoS にのみデプロイできます。特定のクラウドサービスに証明書をデプロイするための参照資料を以下に示します。

前提条件

証明書が購入され、発行されていること。詳細については、「SSL 証明書を購入する」および「ステップ 1：SSL 証明書を作成する」をご参照ください。
重要
- サードパーティのサービスプロバイダーまたは他の Alibaba Cloud アカウントを使用して発行済み証明書を取得する方法の詳細については、「SSL 証明書をアップロードして共有する」をご参照ください。
  - アップロードした証明書をデプロイすると、デプロイクォータが消費されます。購入ページでデプロイクォータを購入できます。
  - 消費されるデプロイクォータの量は、アップロードした証明書と一致するリソースの数に基づいて決定されます。デプロイメントタスクが失敗した場合、デプロイメントタスクによって消費されたデプロイクォータの量は回復されます。
- 異なる Alibaba Cloud アカウント間で共有されている証明書は無料でデプロイできます。デプロイクォータは消費されません。アカウントは、実名登録に合格した同じ個人または企業ユーザーに属している必要があります。
発行済み証明書の名前に中国語の文字が含まれていないこと。次の図は、名前に中国語の文字が含まれている証明書を示しています。
新しい証明書にバインドされているドメイン名が、既存の証明書にバインドされているドメイン名と同じか、またはそれを含んでいる場合にのみ、デプロイメントタスクを使用して SLB または GA の既存の証明書を更新できます。
たとえば、単一ドメイン名 example.com がバインドされている証明書 1 を GA インスタンスにデプロイした場合、証明書 2 にバインドされているドメイン名が example.com と同じか、またはそれを含んでいる場合にのみ、デプロイメントタスクを使用して証明書 2 をインスタンスにデプロイして証明書 1 を置き換えることができます。そうでない場合、デプロイメントタスクは失敗します。証明書 2 にバインドされているドメイン名は、example.com、www.example.com、または *.example.com にすることができます。

手順

Alibaba Cloud サービスへの単一証明書のデプロイ

証明書管理サービスコンソールにログオンします。.
左側のナビゲーションウィンドウで、[証明書管理] > [SSL 証明書管理] を選択します。.
SSL 証明書管理 ページで、必要なタブをクリックし、証明書を見つけ、[アクション] 列の [デプロイ] をクリックします。
タスクの作成 ページで、リソースの選択 ステップで 1 つ以上のクラウドサービスとリソース を選択し、プレビューして送信する をクリックします。
- システムは、証明書に基づいて、証明書がすでに構成されているクラウドサービスリソースをインテリジェントに照合します。プロンプトメッセージで [OK] をクリックすると、一致するクラウドサービスリソースを [選択済みリソース] セクションに追加できます。ビジネス要件に基づいて、追加されたクラウドサービスリソースを調整することもできます。
- システムは、すべてのクラウドサービスのリソースを自動的に識別し、同期します。必要なリソースが見つからない場合は、次の操作を実行します。
  - [合計リソース] セクションで、リソースが同期されているかどうかを確認します。リソースが同期されている場合、[クラウドリソースの同期] ボタンはグレー表示されます。リソースが同期されるまで待ちます。リソースの同期に必要な時間は、クラウドサービス内のリソースの数によって異なります。
  - 同期が完了した後も必要なリソースが見つからない場合は、初回デプロイの前提条件が満たされているかどうかを確認します。詳細については、「初回デプロイ」をご参照ください。
タスクのプレビュー パネルで、証明書とクラウドサービスリソースに関する情報を確認し、送信をクリックします。
プレビューパネルには、クラウドサービスリソースと一致する証明書の数と、消費されるデプロイクォータの量が表示されます。証明書数が 0 の場合、クラウドサービスリソースと一致する証明書はありません。この場合、デプロイタスクは失敗します。選択した証明書を確認してください。

複数の Alibaba Cloud サービスに複数の証明書を同時にデプロイする

証明書管理サービスコンソールにログオンします。.
左側のナビゲーションウィンドウで、デプロイメントとリソース管理 > クラウドサービスへのデプロイ を選択します。.

クラウドサービスへのデプロイ ページで、タスクの作成 をクリックします。次に、次の手順を実行して複数の証明書をデプロイします。

基本設定 ステップで、次のパラメーターを構成し、[次へ] をクリックします。

パラメーター	説明
タスク名	デプロイタスクの名前を指定します。
連絡先	デプロイタスクの通知を受信する連絡先を選択します。最大 10 件の連絡先を選択できます。
デプロイ時間	今すぐデプロイ: このオプションを選択すると、証明書はすぐに Alibaba Cloud サービスにデプロイされます。カスタム時刻: このオプションを選択した場合は、デプロイタスクを実行する日時を指定する必要があります。システムは、指定された日時にデプロイタスクを開始します。

証明書の選択 ステップで、クラウドサービスリソースに必要な証明書を選択し、次へをクリックします。
公式証明書またはアップロードされた証明書を選択できます。 1 つのデプロイタスクに対して、1 つの証明書タイプの証明書のみを選択できます。
リソースの選択 ステップで、クラウドサービスとリソース を選択し、プレビューして送信する をクリックします。
説明
複数のサーバー証明書を 1 つの SLB リスナーに関連付けるデプロイタスクを作成することはできません。
- システムは、証明書に基づいて、証明書がすでに構成されているクラウドサービスリソースをインテリジェントに照合します。プロンプトメッセージで [OK] をクリックすると、一致するクラウドサービスリソースを [選択済みリソース] セクションに追加できます。ビジネス要件に基づいて、追加されたクラウドサービスリソースを調整することもできます。
- システムは、すべてのクラウドサービスのリソースを自動的に識別し、同期します。必要なリソースが見つからない場合は、次の操作を実行します。
  - [合計リソース] セクションで、リソースが同期されているかどうかを確認します。リソースが同期されている場合、次の図に示すように、[クラウドリソースの同期] ボタンはグレー表示されます。リソースが同期されるまで待ちます。リソースの同期に必要な時間は、クラウドサービス内のリソースの数によって異なります。
  - 同期後も必要なリソースが見つからない場合は、初回デプロイの前提条件が満たされているかどうかを確認します。詳細については、「初回デプロイ」をご参照ください。
タスクのプレビュー パネルで、証明書とクラウドサービスに関する情報を確認し、送信をクリックします。
プレビューパネルには、クラウドサービスリソースと一致する証明書の数と、消費されるデプロイクォータの量が表示されます。証明書数が 0 の場合、クラウドサービスリソースと一致する証明書はありません。この場合、デプロイタスクは失敗します。選択した証明書を確認してください。

次の手順

デプロイメントタスクの詳細を表示する

[クラウドサービスへのデプロイメント] ページで、デプロイメントタスクを見つけ、[アクション] 列の [詳細] をクリックします。
タスク詳細ページで、各クラウドサービスタブのリソースの証明書のデプロイメントステータスを表示します。証明書がリソースにデプロイできなかった場合は、[アクション] 列で原因を確認できます。
原因が示されていない場合は、アカウントマネージャーに連絡

デプロイメントタスクをロールバックする

デプロイメントタスクが完了した後、デプロイされた証明書が要件を満たしていない場合、またはその他の理由でデプロイメントを元に戻したい場合は、次の手順を実行してデプロイメントタスクをロールバックできます。

[クラウドサービスへのデプロイメント] ページで、デプロイメントタスクを見つけ、[アクション] 列の [詳細] をクリックします。
タスク詳細ページで、関連するクラウドサービスタブをクリックし、必要なリソースを見つけて、[アクション] 列の [ロールバック] をクリックします。
ロールバックが完了すると、デプロイメントタスクのステータスは [ロールバック済み] に変わります。

デプロイメントタスクを削除する

警告

デプロイメントタスクを削除すると、復元できません。ご注意ください。

[クラウドサービスへのデプロイメント] ページで、デプロイメントタスクを見つけ、[アクション] 列の [削除] をクリックします。複数のデプロイメントタスクを選択し、タスクリストの下にある [削除] をクリックすることもできます。