このトピックでは、国際的に認められているアルゴリズムまたはSM2アルゴリズムを使用するSSL証明書をオンプレミスのコンピューターから証明書管理サービスコンソールにアップロードして集中管理する方法について説明します。 このトピックでは、さまざまなAlibaba Cloudアカウント間で証明書を無料で共有する方法についても説明します。
証明書のアップロード
サードパーティのサービスプロバイダーから発行された証明書を使用する場合は、その証明書を証明書管理サービスコンソールにアップロードして一元管理できます。 証明書は、国際的に認められたアルゴリズムまたはSM2アルゴリズムを使用できます。
証明書をアップロードする前に、次のファイルを準備します。
PEMまたはCRT形式のPEMエンコード証明書ファイルと、key形式のPEMエンコード秘密鍵ファイル。 証明書が別の形式の場合は、ツールを使用して証明書を必要な形式に変換できます。 詳細については、「証明書の形式の変換」をご参照ください。
署名証明書の証明書ファイルと秘密鍵ファイル、および暗号化証明書の証明書ファイルと秘密鍵ファイル。 上記のファイルは、SM2証明書をアップロードするときに必要です。 証明書のアルゴリズムがわからない場合は、証明書の詳細でアルゴリズムを表示できます。 詳細については、「証明書に関する情報の表示」をご参照ください。
certificate Management Serviceコンソールに証明書をアップロードした後、証明書をダウンロードすることはできません。 これにより、証明書のデータセキュリティを確保できます。
Certificate Management Serviceコンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
アップロードされた証明書の管理 タブで、アップロードされた証明書の管理 をクリックします。
アップロードされた証明書の管理 パネルでパラメーターを設定し、[OK] をクリックします。
証明書アルゴリズムを国際承認アルゴリズムに設定するときに設定する必要があるパラメーターは、証明書アルゴリズムをSM2アルゴリズムに設定するときに設定する必要があるパラメーターとは異なります。 下表に追加のパラメーターを示します。
国際的に受け入れられたアルゴリズム
パラメーター
説明
証明書アルゴリズム
[国際的に受け入れられるアルゴリズム] を選択します。 国際的に受け入れられているアルゴリズムは、国際標準化機構 (ISO) および国際電気標準化委員会 (IEC) などの国際機関によって広範に検討され、試験され、承認されている暗号化アルゴリズムを指す。 アルゴリズムには、Rivest-Shamir-Adleman (RSA) および楕円曲線暗号 (ECC) が含まれます。
証明書名
アップロードする証明書の名前を入力します。
名前には、英数字、ピリオド (.)、アンダースコア (_)、およびハイフン (-) を使用できます。
証明書ファイル
PEMエンコードされた証明書ファイルの内容を入力します。
証明書ファイルの必要な内容:
サーバー証明書が信頼されていることのみを確認する必要がある場合は、証明書ファイルにサーバー証明書 (次の図で1とマーク) と中間証明書 (次の図で2とマーク) が含まれている必要があります。 中間証明書とサーバー証明書が別々のファイルである場合、[証明書チェーン] フィールドに中間証明書の内容を入力できます。
クライアント証明書とサーバー証明書が信頼されていることを確認する必要がある場合、証明書ファイルには、サーバー証明書 (次の図で1とマーク) 、中間証明書 (次の図で2とマーク) 、およびルート証明書 (次の図で3とマーク) が含まれている必要があります。 中間証明書、ルート証明書、およびサーバー証明書が別々のファイルである場合は、次の図に示す順序で中間証明書とルート証明書を連結する必要があります。 次に、[証明書チェーン] フィールドに連結ファイルの内容を入力します。
コンテンツを入力する方法:
テキストエディターを使用して、PEMまたはCRT形式の証明書ファイルを開きます。 次に、Certificate Fileフィールドにコンテンツをコピーします。
[証明書ファイル] フィールドの下にある [アップロード] をクリックします。 次に、コンピュータから証明書ファイルを選択して、ファイルの内容をアップロードします。
証明書キー
PEMエンコードされた秘密鍵ファイルの内容を入力します。
秘密鍵ファイルの必要な内容:
RSA
ECC
コンテンツを入力する方法:
コンテンツを手動で指定する: テキストエディタを使用して、秘密鍵ファイルをkey形式で開きます。 次に、Certificate Keyフィールドにコンテンツをコピーします。
秘密鍵ファイルをアップロードする: [証明書キー] フィールドの下にある [アップロード] をクリックします。 次に、コンピューターから秘密鍵ファイルを選択して、ファイルの内容をフィールドにアップロードします。
既存のCSRの選択: certificate Management Serviceコンソールで作成またはアップロードされた証明書署名要求 (CSR) を選択できます。 システムは、指定された証明書ファイルのCSRを自動的に照合します。 CSRの管理方法の詳細については、「CSRの管理」をご参照ください。
説明秘密鍵ファイルをアップロードした後に証明書と秘密鍵が一致しないことを示すエラーがシステムから報告された場合、秘密鍵ファイルにRSA文字が含まれている可能性があります。
openssl rsa -in <秘密鍵ファイルの元の名前> -out <秘密鍵ファイルの新しいカスタム名>
コマンドを実行して、文字を変換し、ファイルを再アップロードします。証明書チェーン
必要に応じて、 PEMエンコードされた中間証明書またはルート証明書の内容を入力します。 指定した証明書ファイルに完全な証明書チェーンが含まれている場合は、このパラメーターを設定する必要はありません。
証明書チェーンファイルの必要な内容:
中間証明書またはルート証明書
中間証明書 (次の図で1とマーク) およびルート証明書 (次の図で2とマーク)
コンテンツを入力する方法:
テキストエディターを使用して、PEMまたはCRT形式の証明書チェーンファイルを開きます。 次に、Certificate Chainフィールドにコンテンツをコピーします。
[証明書チェーン] フィールドの下にある [アップロード] をクリックします。 次に、コンピュータから証明書チェーンファイルを選択して、ファイルの内容をアップロードします。
SM2アルゴリズム
パラメーター
説明
証明書アルゴリズム
[SM2アルゴリズム] を選択します。 このタイプのアルゴリズムは、中国の国家暗号管理局 (SCA) によってリリースされています。 Certificate Management Serviceは、非対称暗号アルゴリズムであるSM2アルゴリズムをサポートしています。
証明書名
アップロードする証明書の名前を入力します。
名前には、英数字、アンダースコア (_) 、およびハイフン (-) を使用できます。
証明書ファイル
アップロードするPEMエンコードされた署名証明書の証明書ファイルの内容を入力します。
次のいずれかの方法でコンテンツを入力できます。 方法1: テキストエディターを使用して、PEMまたはCRT形式の証明書ファイルを開きます。 次に、Certificate Fileフィールドにコンテンツをコピーします。 方法2: [証明書ファイル] フィールドの下にある [アップロード] をクリックします。 次に、コンピューターから証明書ファイルを選択して、ファイルの内容をアップロードします。
証明書キー
アップロードするPEMエンコードされた署名証明書の秘密鍵ファイルの内容を入力します。
次のいずれかの方法でコンテンツを入力できます。 方法1: テキストエディタを使用して、秘密鍵ファイルをkey形式で開きます。 次に、Certificate Keyフィールドにコンテンツをコピーします。 方法2: [証明書キー] フィールドの下にある [アップロード] をクリックします。 次に、コンピューターから秘密鍵ファイルを選択して、ファイルのコンテンツをアップロードします。
暗号化証明書
アップロードするPEMエンコードされた証明書ファイルの暗号化証明書の内容を入力します。
次のいずれかの方法でコンテンツを入力できます。 方法1: テキストエディターを使用して、PEMまたはCRT形式の証明書ファイルを開きます。 次に、Certificate Fileフィールドにコンテンツをコピーします。 方法2: [証明書ファイル] フィールドの下にある [アップロード] をクリックします。 次に、コンピューターから証明書ファイルを選択して、ファイルの内容をアップロードします。
暗号化秘密鍵
アップロードするPEMエンコードされた暗号化証明書の秘密鍵ファイルの内容を入力します。
次のいずれかの方法でコンテンツを入力できます。 方法1: テキストエディタを使用して、秘密鍵ファイルをkey形式で開きます。 次に、コンテンツを [暗号化秘密鍵] フィールドにコピーします。 方法2: [暗号化秘密鍵] フィールドの下にある [アップロード] をクリックします。 次に、コンピューターから秘密鍵ファイルを選択して、ファイルのコンテンツをアップロードします。
証明書がアップロードされた後、証明書リストで証明書を表示できます。 証明書管理サービスコンソールでアップロードされた証明書を管理しない場合は、証明書を見つけて、[操作] 列の [削除] をクリックして証明書を削除します。
重要証明書が削除されると、証明書はアップロードされた証明書のリストから削除されます。 証明書の有効期間は影響を受けません。 削除された証明書は復元できません。 作業は慎重に行ってください。
証明書の共有
複数のAlibaba Cloudアカウントがあり、アカウントが実名検証に合格したのと同じ個人または企業に属している場合、アカウント間で証明書を共有できます。 その後、共有証明書をAlibaba Cloudサービスに無料でデプロイできます。
制限事項
次のシナリオでは、証明書を共有できません。
中国サイト (aliyun.com) のAlibaba Cloudアカウントを使用して申請された証明書を、国際サイト (alibabacloud.com) のAlibaba Cloudアカウントと共有することはできません。 国際サイト (alibabacloud.com) のAlibaba Cloudアカウントを使用して申請された証明書を、中国サイト (aliyun.com) のAlibaba Cloudアカウントと共有することはできません。
現在のAlibaba Cloudアカウントに共有されている証明書を別のAlibaba Cloudアカウントと共有することはできません。 たとえば、Alibaba CloudアカウントA、B、およびCがあるとします。アカウントAを使用してアカウントBと証明書を共有した後、アカウントBを使用してアカウントCと証明書を共有することはできません。
アップロードされた証明書は共有できません。
証明書の共有条件を満たさない場合は、現在のアカウントを使用して証明書をダウンロードし、別のアカウントを使用して証明書をアップロードできます。 詳細については、「SSL証明書のダウンロード」および「証明書のアップロード」をご参照ください。
手順
Certificate Management Serviceコンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
公式証明書について
タブで、共有する発行済み証明書を見つけ、[操作] 列の [詳細] をクリックします。
証明書の共有 タブで、アカウント ID パラメーターを、証明書を共有するAlibaba CloudアカウントのIDに設定します。 次に、確認して共有 をクリックします。
証明書が共有された後、証明書が共有されているAlibaba Cloudアカウントを使用して証明書管理サービスコンソールにログインし、SSL 証明書管理ページの アップロードされた証明書の管理 タブに移動して証明書を表示します。 共有証明書の ステータス 列にアイコンが表示されます。
関連ドキュメント
アップロードされた証明書のホスティングを有効にする方法の詳細については、「証明書のホスティングの有効化」をご参照ください。