証明書管理サービスは、民間認証局 (PCA) をサポートしています。 PCAを使用すると、企業用のプライベート認証局 (CA) を低コストで作成できます。 このようにして、公開鍵インフラストラクチャ (PKI) を作成または維持する必要はありません。 このトピックでは、プライベートCAを購入して有効にする方法について説明します。
背景情報
プライベートCAでは、プライベートルートCAは、1つまたは複数のプライベート中間CAを含むことができる。 プライベート中間CAのみが、サーバー証明書やクライアント証明書などのプライベート証明書を発行できます。
初めてプライベートCAを作成する場合は、まずプライベートルートCAを購入する必要があります。 プライベートルートCAを購入すると、プライベートルートCAとプライベート中間CAを取得できます。 デフォルトでは、プライベートルートCAは、プライベート中間CAが10のプライベート証明書を発行できるようにするクォータを提供します。 企業の組織構造に基づいて、既存のプライベートルートCAに対してより多くのプライベート中間CAを作成できます。 たとえば、企業のさまざまな部門用にプライベート中間CAを作成できます。 プライベート証明書のクォータを購入し、そのクォータをプライベート中間CAに割り当てることもできます。 このように、プライベート中間CAは、より多くのプライベート証明書を発行できる。
ステップ1: プライベートルートCAを購入する
Certificate Management Serviceコンソール. にログインします。
左側のナビゲーションウィンドウで、プライベート証明書.
On theプライベートcaタブをクリックします。プライベートルートcaの購入.
購入ページで、証明書アルゴリズムとサブスクリプション期間を設定し、[今すぐ購入] をクリックして支払いを完了します。
証明書アルゴリズム: プライベートCAを使用して証明書を発行するときに使用されるアルゴリズムの種類。 有効な値: RSA、Chinese Cryptographic Algorithm (SM) 、およびECC。
サブスクリプション期間: プライベートCAのサブスクリプション期間。 プライベートCAを使用して、プライベートCAのサブスクリプション期間内にプライベート証明書を発行できます。
重要プライベートCAの有効期限が切れると、プライベート証明書のクォータが使い果たされなくても、プライベートCAを使用してプライベート証明書を発行できなくなります。
プライベートCAを使用して発行されるプライベート証明書の有効期間は、プライベートCAのサブスクリプション期間を超えることはできません。 たとえば、サブスクリプション期間を1か月に設定した場合、プライベートCAを使用して発行されるプライベート証明書の有効期間は30日を超えることはできません。
ステップ2: プライベートCAを有効にする
プライベートルートCAを購入したら、プライベートルートCAとプライベート中間CAを順番に有効にする必要があります。 プライベートルートCAが有効になった後にのみ、プライベートルートCAに従属するプライベート中間CAを有効にできます。
プライベートルートCAの有効化
プライベートcaタブで、有効にするプライベートルートCAを見つけ、有効で、操作列を作成します。
Ca情報パネルでは、パラメータを設定し、確認して有効にする.
証明書管理サービスでは、CA 証明書の作成およびCA 証明書と暗号化キーのアップロードの方法を使用してCAを有効にできます。 設定する必要があるパラメーターは、選択した方法によって異なります。 下表に追加のパラメーターを示します。
有効化モード を CA 証明書の作成 に設定した場合、次のパラメーターを設定します。
パラメーター
説明
有効化モード
CA 証明書の作成 を選択します。
共通名 (cn)
プライベートルートCAに関連付ける組織の一般名または略語を入力します。 中国語と英語の両方がサポートされています。
例: Alibaba Cloud
組織部門 (ou)
プライベートルートCAに関連付ける組織単位の名前を入力します。 中国語と英語の両方がサポートされています。
例: IT部門
組織 (o)
プライベートルートCAに関連付ける組織の名前を入力します。 中国語と英語の両方がサポートされています。
例: Alibaba Cloud Computing Co., Ltd.
都市名 (l)
組織が配置されている都市を入力します。 中国語と英語の両方がサポートされています。
例: 杭州
州の名前
組織が配置されている州を入力します。 中国語と英語の両方がサポートされています。
例: 浙江省
国 (c)
組織が配置されている国または地域を選択します。 中国語と英語の両方がサポートされています。
秘密鍵アルゴリズム
プライベートルートCAが暗号化に使用できる秘密鍵アルゴリズムを選択します。
サポートされる秘密鍵アルゴリズムは、プライベートルートCAの購入時に選択した証明書アルゴリズムの値によって異なります。
証明書アルゴリズムをRSAに設定した場合、RSA_1024、RSA_2048、RSA_4096の秘密鍵アルゴリズムがサポートされます。
証明書アルゴリズムをChinese Cryptographic Algorithm (SM) に設定した場合、秘密鍵アルゴリズムSM2_256がサポートされます。
証明書アルゴリズムをECCに設定すると、ECC_256、ECC_384、ECC_512の秘密鍵アルゴリズムがサポートされます。
有効期間
プライベートルートCAの有効期間を選択します。 プライベートCAを使用して、選択した期間内にプライベート証明書を発行できます。 例えば、有効期間は5年とすることができる。
プライベートルートCAの有効期間は、プライベートCAの購入時に指定したサブスクリプション期間の値によって異なります。
指定されたサブスクリプション期間が1年未満の場合、プライベートルートCAのサポートされる有効期間は1年から20年の範囲です。
指定されたサブスクリプション期間が1年以上の場合、プライベートルートCAのサポートされる有効期間は1年から100年の範囲です。
説明プライベートCAの有効期限が切れると、プライベートルートCAが有効であっても、プライベートルートCAのプライベート中間CAはプライベート証明書を発行できなくなります。 引き続きプライベートCAを使用してプライベート証明書を発行するには、プライベートCAを更新する必要があります。
CRL サービスを有効にするかどうか
証明書失効リスト (CRL) 機能を有効にするかどうかを指定します。 プライベートルートCAのCRL機能を有効にすると、プライベートルートCAのプライベート中間CAから発行された失効証明書に関する情報を表示できます。 詳細については、「CRL機能の使用」をご参照ください。
有効化モード を CA 証明書と暗号化キーのアップロード に設定した場合、次のパラメーターを設定します。
パラメーター
説明
有効化モード
CA 証明書と暗号化キーのアップロード を選択します。
証明書ファイル
PEMエンコードされたCA証明書ファイルの内容を入力します。
次のいずれかの方法でコンテンツを入力できます。 方法1: テキストエディターを使用して、PEMまたはCRT形式のCA証明書ファイルを開きます。 次に、Certificate Fileフィールドにコンテンツをコピーします。 方法2: [証明書ファイル] フィールドの下にある アップロード をクリックします。 次に、コンピューターからCA証明書ファイルを選択して、ファイルの内容をアップロードします。
証明書秘密鍵
PEMエンコードされた秘密鍵ファイルの内容を入力します。
次のいずれかの方法でコンテンツを入力できます。 方法1: テキストエディタを使用して、秘密鍵ファイルをkey形式で開きます。 次に、コンテンツを秘密鍵コンテンツフィールドにコピーします。 方法2: [秘密鍵コンテンツ] フィールドの下にある アップロード をクリックします。 次に、コンピューターから秘密鍵ファイルを選択して、ファイルのコンテンツをアップロードします。
ヒントメッセージでは、情報を確認し、OK.
プライベート中間CAを有効にする
プライベートcaタブで、プライベート中間CAが従属するプライベートルートCAを見つけ、プライベートルートCAの名前の横にあるアイコンをクリックします。
プライベート中間CAを見つけて、有効にするで、操作列を作成します。
Ca情報パネルでは、パラメータを設定し、確認して有効にする.
証明書管理サービスでは、CA 証明書の作成およびCA 証明書と暗号化キーのアップロードの方法を使用してCAを有効にできます。 設定する必要があるパラメーターは、選択した方法によって異なります。
有効化モード を CA 証明書の作成 に設定した場合、次のパラメーターを設定します。
パラメーター
説明
有効化モード
CA 証明書の作成 を選択します。
中間 CA の用途
プライベート中間CAの使用方法を選択します。 有効な値: 中間 CAおよびユーザー CA。
中間CA: プライベート中間CAを使用して、従属CAを発行することができる。
ユーザーCA: プライベート中間CAを使用して、サーバー証明書やクライアント証明書などのユーザー証明書を発行できます。
長さの制限
プライベート中間CAが発行できる下位CAの最大長を指定します。 このパラメーターは、中間 CA の用途を中間 CAに設定した場合にのみ必要です。
有効な値: 1 ~ 5。
重要長さの制限を1に設定した場合、プライベート中間CAはユーザーCAのみを発行できます。
共通名 (cn)
プライベート中間CAに関連付ける組織の一般名または略語を入力します。 中国語と英語の両方がサポートされています。
例: Alibaba Cloud
組織部門 (ou)
プライベート中間CAに関連付ける組織単位の名前を入力します。 中国語と英語の両方がサポートされています。
例: IT部門
組織 (o)
プライベート中間CAに関連付ける組織の名前を入力します。 中国語と英語の両方がサポートされています。
例: Alibaba Cloud Computing Co., Ltd.
都市名 (l)
組織が配置されている都市を入力します。 中国語と英語の両方がサポートされています。
例: 杭州
州の名前
組織が配置されている州を入力します。 中国語と英語の両方がサポートされています。
例: 浙江省
国 (c)
組織が配置されている国または地域を選択します。 中国語と英語の両方がサポートされています。
例: 中国
秘密鍵アルゴリズム
秘密中間CAが暗号化に使用できる秘密鍵アルゴリズムを選択します。
サポートされる秘密鍵アルゴリズムは、プライベート中間CAの購入時に選択した証明書アルゴリズムの値によって異なります。
証明書アルゴリズムをRSAに設定した場合、RSA_1024、RSA_2048、RSA_4096の秘密鍵アルゴリズムがサポートされます。
証明書アルゴリズムをChinese Cryptographic Algorithm (SM) に設定した場合、秘密鍵アルゴリズムSM2_256がサポートされます。
証明書アルゴリズムをECCに設定すると、ECC_256、ECC_384、ECC_512の秘密鍵アルゴリズムがサポートされます。
有効期間
プライベート中間CAの有効期間を選択します。
プライベート中間CAの有効期間は、プライベートCAの購入時に指定したサブスクリプション期間の値によって異なります。
指定されたサブスクリプション期間が1年未満の場合、プライベート中間CAのサポートされる有効期間は1年から20年の範囲です。
指定されたサブスクリプション期間が1年以上の場合、プライベート中間CAのサポートされる有効期間は1年から100年の範囲です。
CRL サービスを有効にするかどうか
CRL機能を有効にするかどうかを指定します。 プライベートルートCAのCRL機能を有効にすると、プライベート中間CAから発行された失効証明書に関する情報を表示できます。 詳細については、「CRL機能の使用」をご参照ください。
拡張キーの使用方法
証明書の識別に役立つ拡張キーの使用方法を選択します。
有効化モード を CA 証明書と暗号化キーのアップロード に設定した場合、次のパラメーターを設定します。
パラメーター
説明
有効化モード
CA 証明書と暗号化キーのアップロード を選択します。
証明書ファイル
PEMエンコードされたCA証明書ファイルの内容を入力します。
次のいずれかの方法でコンテンツを入力できます。 方法1: テキストエディターを使用して、PEMまたはCRT形式のCA証明書ファイルを開きます。 次に、Certificate Fileフィールドにコンテンツをコピーします。 方法2: [証明書ファイル] フィールドの下にある アップロード をクリックします。 次に、コンピューターからCA証明書ファイルを選択して、ファイルの内容をアップロードします。
証明書秘密鍵
PEMエンコードされた秘密鍵ファイルの内容を入力します。
次のいずれかの方法でコンテンツを入力できます。 方法1: テキストエディタを使用して、秘密鍵ファイルをkey形式で開きます。 次に、コンテンツを秘密鍵コンテンツフィールドにコピーします。 方法2: [秘密鍵コンテンツ] フィールドの下にある アップロード をクリックします。 次に、コンピューターから秘密鍵ファイルを選択して、ファイルのコンテンツをアップロードします。
ヒントメッセージでは、情報を確認し、OK.
ステップ3: (オプション) プライベート中間CAを購入する
複数のプライベート中間CAを使用する場合は、既存のプライベートルートCA用に複数のプライベート中間CAを購入できます。 デフォルトでは、新しく購入したプライベート中間CAはプライベート証明書のクォータを提供しません。
プライベートcaタブで、プライベート中間CAを購入するプライベートルートCAを見つけて、プライベートサブ CA の作成で、操作列を作成します。
表示されるページで、パラメーターを設定します。
重要秘密中間CAの秘密鍵アルゴリズムは、秘密ルートCAの秘密鍵アルゴリズムと一致しており、変更することができない。
[今すぐ購入] をクリックします。 表示されるページで、[利用規約] を読んで選択し、[支払い] をクリックして支払いを完了します。
支払い完了後、証明書管理サービスコンソールのプライベート証明書ページで、新しく購入したプライベート中間CAを表示できます。 デフォルトでは、新しく購入したプライベート中間CAは無効状態です。 プライベート中間CAを使用して証明書を発行する前に、プライベート中間CAを有効にする必要があります。
次のステップ
プライベートCAを購入して有効にすると、プライベート証明書を設定できます。 詳細については、「プライベート証明書の申請」をご参照ください。