すべてのプロダクト
Search

このプロダクト

    :証明書アプリケーションリポジトリでの証明書の管理

    ドキュメントセンター

    :証明書アプリケーションリポジトリでの証明書の管理

    最終更新日:Jun 13, 2024

    証明書アプリケーションリポジトリを作成した後、証明書アプリケーションリポジトリ関連のAPI操作を呼び出すか、certificate Management Serviceコンソールを使用して、リポジトリ内の証明書を管理できます。 たとえば、証明書のアップロード、申請、取り消し、削除を行うことができます。 証明書アプリケーションリポジトリ関連のAPI操作を呼び出して、証明書アプリケーションリポジトリ内の証明書を使用してデータを暗号化および復号化したり、電子契約書に署名して署名を検証したりすることもできます。

    前提条件

    証明書アプリケーションリポジトリが作成されます。 詳細については、「証明書アプリケーションリポジトリの作成と管理」をご参照ください。

    certificate Management Serviceコンソールを使用して、証明書アプリケーションリポジトリで証明書を管理する

    Certificate Management Serviceコンソールでは、証明書アプリケーションリポジトリで証明書を管理できます。 たとえば、証明書の申請、アップロード、取り消し、ダウンロード、および削除ができます。 証明書の詳細を表示することもできます。

    エントリーポイント

    1. Certificate Management Serviceコンソール にログインします。

    2. 左側のナビゲーションウィンドウで、証明書およびドメインアプリケーションサービス > 証明書申請リポジトリを選択します。

    3. 証明書申請リポジトリページで、証明書アプリケーションリポジトリを見つけてクリックします。

    4. 証明書の管理ページで、証明書アプリケーションリポジトリで証明書を管理します。

    プライベート証明書アプリケーションリポジトリで証明書を申請する

    1. [証明書の管理] ページで、[証明書の申請] をクリックします。

    2. [証明書の申請] パネルで、次のパラメーターを設定し、[確認] をクリックします。

      パラメーター

      説明

      証明書タイプ

      • サーバー証明書: サーバー証明書をアプリケーションサーバーにインストールする必要があります。

      • クライアント証明書: アプリケーションにアクセスするクライアントにクライアント証明書をインストールする必要があります。

      共通名 (cn)

      プライベート証明書ホルダーの一般名。

      有効期間

      プライベート証明書の有効期間。

      プライベート証明書の有効期間は、プライベート認証局 (PCA) のサービス期間によって異なります。

      • PCAのサービス期間が1年未満の場合、プライベート証明書の有効期間はPCAのサービス期間以下でなければなりません。 たとえば、購入したPCAのサービス期間が1か月の場合、プライベート中間CAから発行されたプライベート証明書の有効期間は31日を超えることはできません。 プライベート証明書の有効期間を長くする必要がある場合は、PCAを更新してサービス期間を延長することを推奨します。 更新の詳細については、「ポリシーの更新」をご参照ください。

      • PCAのサービス期間が1年以上の場合、プライベート証明書の有効期間は1年から100年の範囲です。

      拡張san

      プライベート証明書のサブジェクト代替名 (SAN) 属性。

      • 証明書を複数のエンティティに適用する必要がある場合は、SAN属性を使用して他のエンティティに関する情報を追加できます。

      • サーバー証明書のドメイン名またはIPアドレスを入力できます。 クライアント証明書の電子メールアドレスまたはURI (Uniform Resource Identifier) を入力できます。

      • 最大10個のSAN属性を追加できます。

      説明

      SANは、SSL X.509標準で定義された拡張である。 SAN属性を使用するSSL証明書は、複数のドメイン名に関連付けることができます。

      URIは、証明書が属するAlibaba Cloudリソースを一意に識別できます。 たとえば、URIは、プライベート証明書がデプロイされているECS (Elastic Compute Service) インスタンスを識別できます。

      詳細

      プライベート証明書の名前を指定し、プライベート証明書の会社情報と部門情報を追加する場合は、詳細 をクリックしてパラメーターを設定します。

      CRL ステータス

      プライベート中間CAの作成時に証明書失効リスト (CRL) 機能を有効にするかどうかを指定します。 詳細については、「CRL機能の使用」をご参照ください。

    準拠した証明書アプリケーションリポジトリで証明書を申請する

    1. [証明書の管理] ページで、[証明書の申請] をクリックします。

    2. [証明書の申請] パネルで、次のパラメーターを設定し、[確認] をクリックします。

      パラメーター

      説明

      共通名

      証明書の所有者の名前を入力します。

      その他の設定

      証明書の名前を指定し、証明書の会社情報と部門情報を追加する場合は、[詳細] をクリックしてパラメーターを設定します。

    アップロードされた証明書アプリケーションリポジトリへの証明書のアップロード

    1. [証明書の管理] ページで、[証明書のアップロード] をクリックします。

    2. [CA情報] パネルで、次のパラメーターを設定し、確認して有効にする をクリックします。

      パラメーター

      説明

      パッケージ名

      アップロードする証明書の名前を入力します。

      名前には、英数字、ピリオド (.)、アンダースコア (_)、およびハイフン (-) を使用できます。

      証明書ファイル

      アップロードする証明書のPEMエンコードされた証明書ファイルの内容を入力します。

      次のいずれかの方法でコンテンツを入力できます。 方法1: テキストエディターを使用して、PEMまたはCRT形式の証明書ファイルを開きます。 次に、Certificate Fileフィールドにコンテンツをコピーします。 方法2: [証明書ファイル] フィールドの下にある [アップロード] をクリックします。 次に、コンピュータから証明書ファイルを選択して、ファイルの内容をアップロードします。

      証明書キー

      アップロードする証明書のPEMエンコードされた秘密鍵ファイルの内容を入力します。 次のいずれかの方法でコンテンツを入力できます。

      • コンテンツを手動で指定する: テキストエディタを使用して、秘密鍵ファイルをkey形式で開きます。 次に、Certificate Keyフィールドにコンテンツをコピーします。

      • 秘密鍵ファイルをアップロードする: [証明書キー] フィールドの下にある [アップロード] をクリックします。 次に、コンピューターから秘密鍵ファイルを選択して、ファイルの内容をフィールドにアップロードします。

      • 既存のCSRの選択: certificate Management Serviceコンソールで作成またはアップロードされた証明書署名要求 (CSR) を選択できます。 システムは、指定された証明書ファイルのCSRを自動的に照合します。 CSRの管理方法の詳細については、「CSRの管理」をご参照ください。

      説明

      秘密鍵ファイルをアップロードした後に証明書と秘密鍵が一致しないとシステムが報告した場合、秘密鍵ファイルにRSA文字が含まれている可能性があります。 openssl rsa -in <秘密鍵ファイルの元の名前> -out <秘密鍵ファイルのカスタム名> コマンドを実行して、文字を変換し、ファイルを再度アップロードします。

    アップロードされたCA証明書アプリケーションリポジトリへの証明書のアップロード

    1. [証明書の管理] ページで、[証明書のアップロード] をクリックします。

    2. [CA情報] パネルで、次のパラメーターを設定し、確認して有効にする をクリックします。

      パラメーター

      説明

      パッケージ名

      アップロードする認証局 (CA) 証明書ファイルの名前を入力します。

      名前には、英数字、ピリオド (.)、アンダースコア (_)、およびハイフン (-) を使用できます。

      証明書ファイル

      完全な証明書チェーンを含むPEMエンコード証明書ファイルの内容を入力します。

      次のいずれかの方法でコンテンツを入力できます。 方法1: テキストエディターを使用して、PEMまたはCRT形式のCA証明書ファイルを開きます。 次に、このフィールドにコンテンツをコピーします。 方法2: このフィールドの下の [アップロード] をクリックします。 次に、コンピューターからCAファイルを選択し、ファイルをアップロードします。

      説明

      証明書チェーンが不完全で、Alibaba Cloud Server Load Balancer (SLB) インスタンスのHTTPSリスナーを設定するときにこのCA証明書を選択した場合、SLBインスタンスはクライアントへの暗号化された接続を確立できません。 SLBインスタンスのHTTPSリスナーを設定する方法の詳細については、「ALBインスタンスのHTTPSリスナーの作成」、「TCP経由でSSLを使用するリスナーの作成」、および「CLBインスタンスのHTTPSリスナーの作成」をご参照ください。

    証明書の表示、ダウンロード、取り消し、削除、および秘密鍵の追加

    シナリオ

    手順

    証明書の詳細を表示する

    [証明書の管理] ページで、管理する証明書を見つけて、[操作] 列の [詳細] をクリックします。

    識別子、発行済み、有効期限、アルゴリズムなど、証明書の詳細を表示できます。

    プライベートキーの追加

    1. [証明書の管理] ページで、管理する証明書を見つけ、[操作] 列の 秘密鍵を追加する をクリックします。

    2. 秘密鍵を追加するパネルで、秘密鍵ファイルの内容を入力するか、秘密鍵ファイルをアップロードします。 次に、[OK] をクリックします。

      秘密鍵ファイルは、PEMフォーマットでエンコードされ、「 ----- BEGIN (RSA | EC) private key ----- 」で始まり、「 ----- end (RSA | EC) PRIVATE KEY ----- 」で終わる必要があります。

      次のいずれかの方法でコンテンツを入力できます。 方法1: テキストエディタを使用して、秘密鍵ファイルをkey形式で開きます。 次に、コンテンツを [秘密鍵の追加] フィールドにコピーします。 方法2: [秘密鍵の追加] フィールドの下にある [アップロード] をクリックします。 次に、コンピューターから秘密鍵ファイルを選択して、ファイルのコンテンツをアップロードします。

    証明書の取り消し

    1. [証明書の管理] ページで、取り消す証明書を見つけ、[操作] 列の [取り消し] をクリックします。

    2. [確認] メッセージで、[取り消し] をクリックします。

    警告

    証明書を取り消すと、復元できません。 作業は慎重に行ってください。

    証明書のダウンロード

    [証明書の管理] ページで、ダウンロードする証明書を見つけて、[操作] 列の [ダウンロード] をクリックします。

    証明書の削除

    1. [証明書の管理] ページで、削除する証明書を見つけて、[操作] 列の [削除] をクリックします。

    2. ヒントメッセージで、[OK] をクリックします。

    警告

    証明書を削除すると、復元できません。 作業は慎重に行ってください。

    証明書アプリケーションリポジトリ関連のAPI操作を呼び出すことによる証明書の管理

    証明書アプリケーションリポジトリ関連のAPI操作を呼び出して、証明書の申請、アップロード、取り消し、および削除を行うことができます。 署名の生成、署名の検証、データの暗号化、およびデータの復号化の操作を呼び出すこともできます。 詳細については、「証明書アプリケーションリポジトリ」をご参照ください。

    説明

    Sign、Verify、Encrypt、およびDecryptの操作を呼び出す前に、十分なAPI呼び出しクォータがあることを確認してください。 詳細については、「証明書アプリケーションリポジトリのAPI呼び出しクォータの購入」をご参照ください。