認証局 (CA) がWebサイトの証明書を発行する前に、証明書にバインドされているドメイン名を所有または管理できることを確認する必要があります。 証明書申請書を提出した後、ドメインネームシステム (DNS) 、ファイル、または電子メールの方法を使用して、証明書にバインドされているドメイン名の所有権を証明できます。 このトピックでは、ドメイン名の所有権の検証のルールとプロセスについて説明します。
前提条件
証明書申請書が提出されます。 詳細については、「証明書の申請」をご参照ください。
検証方法
2021年11月15日以降、ファイル検証方法を使用して、* .aliyundoc.comや * .abc.aliyundoc.comなどのワイルドカードドメイン名の所有権を検証できなくなりました。 詳細については、「 [お知らせ] ワイルドカード証明書の申請時にファイル検証がサポートされなくなりました」をご参照ください。
ドメイン名の所有権の確認中に問題が発生した場合は、アカウントマネージャーに連絡してテクニカルサポート.
次の表に、さまざまな種類の証明書のドメイン名所有権の検証方法と、それぞれの方法を使用して検証を完了する方法を示します。
証明書タイプ | シナリオ | 検証方法 | 証明書発行に必要な時間 |
ドメイン検証済み (DV) 証明書 | 証明書申請者のAlibaba Cloudアカウントに対してAlibaba Cloud DNSが有効化されている | 自動DNS検証: Alibaba Cloudはドメイン名を自動的に識別し、ドメイン名の所有権を検証するためにAlibaba Cloud DNSコンソールにドメイン名のDNSレコードを追加します。 証明書が発行されるのを待つだけです。 自動DNS検証を期待どおりに進めるために、DNSレコードが自動的に追加されると、競合するTXTレコードは削除されます。 詳細については、「証明書申請者のAlibaba Cloudアカウントに対してAlibaba Cloud DNSが有効化されている」をご参照ください。 | 指定された情報が正しい場合、CAは1〜2営業日以内にレビューと発行を完了します。 |
証明書申請者のAlibaba Cloudアカウントに対してAlibaba Cloud DNSが有効化されていません | |||
組織検証済み (OV) または拡張検証 (EV) 証明書 | すべてのシナリオ | 電子メールの検証: OVまたはEV証明書の証明書申請書を提出した後、CAスタッフは指定した携帯電話番号に電話をかけるか、1営業日以内に証明書申請書で指定した電子メールアドレスに検証メールを送信します。 時間は、CAの位置に基づいて変化する。 法定休日は除外されます。 メールに記載されている検証方法に基づいて検証を完了し、CAと協力して検証を完了することを推奨します。 | 指定された情報が正しく、検証プロセス中にCAスタッフと協力した場合、CAは3〜7営業日以内にレビューと発行を完了します。 |
証明書申請者のAlibaba Cloudアカウントに対してAlibaba Cloud DNSが有効化されている
証明書申請者のAlibaba Cloudアカウントに対してAlibaba Cloud DNSが有効化され、DV証明書が申請されている場合、Alibaba Cloudは自動的にドメイン名を識別し、自動dns検証方法を選択します。 検証方法は変更できません。 証明書申請書を送信すると、Alibaba Cloudはドメイン名の所有権を確認するために、Alibaba Cloud DNSコンソールにドメイン名のDNSレコードを自動的に追加します。
DNSレコードが有効になった後、Certificate Management Serviceコンソールで [Verify] をクリックすると、[No DNS record is found] メッセージが表示されることがあります。 これは、証明書管理サービスコンソールがDNSレコードを検証するときにレイテンシが存在するためです。 証明書管理サービスコンソールに表示される検証結果は、参照専用です。 CAによって提供された実際の検証および発行結果が優先されます。 ほとんどの場合、CAは1〜2営業日以内にレビューと発行を完了します。
自動DNS検証を期待どおりに進めるために、DNSレコードが自動的に追加されると、競合するTXTレコードは削除されます。
証明書申請者のAlibaba Cloudアカウントに対してAlibaba Cloud DNSが有効化されていません
証明書申請者のAlibaba Cloudアカウントに対してAlibaba Cloud DNSが有効化されておらず、DV証明書が申請されている場合、Alibaba Cloudは次の検証方法をサポートしています。
手動DNS検証
手動DNS検証を実行する場合は、DV証明書が単一のドメイン名またはワイルドカードドメイン名にバインドされており、ドメイン名のDNSレコードを変更する権限があることを確認してください。 このメソッドを使用する場合は、手動で追加する必要がありますDNSサービスプロバイダのシステム内のドメイン名のTXTレコード。 ドメイン名のDNSレコードを変更するには、ドメイン名の管理者権限が必要です。
証明書申請書を提出した後、証明書申請 パネルの 検証情報 ステップから検証情報を取得します。
DNSサービスプロバイダのシステムにログインし、ドメイン名のDNSレコードを追加します。
次の例は、Alibaba Cloud DNSコンソールでドメイン名のDNSレコードを追加する方法を示しています。 ドメイン名がサードパーティのDNSサービスプロバイダーに登録されている場合は、DNSサービスプロバイダーのWebサイトにアクセスして、ドメイン名のDNSレコードを追加します。
ドメイン名所有者のAlibaba Cloudアカウントを使用して、Alibaba Cloud DNSコンソールにログインします。
[ドメイン名の解決] ページで、証明書にバインドされているドメイン名を見つけ、ドメイン名をクリックします。
[DNS設定] ページで、[DNSレコードの追加] をクリックします。
[DNSレコードの追加] パネルで、次の図に示す設定項目に、手順1で取得したレコードタイプ、ホストレコード、レコード値などの検証情報を追加します。 そして、[OK] をクリックします。
左の下図は証明書管理サービスコンソール、右の下図はAlibaba Cloud DNSコンソールを示しています。
DNSレコードを追加すると、レコードリストに表示されます。
新しく追加されたDNSレコードはすぐに有効になります。
DNSレコードを削除または変更した場合、この操作は、ローカルDNSキャッシュに保存されているDNSレコードの有効期間 (TTL) 後に有効になります。 ほとんどの場合、デフォルトのTTLは10分です。
DNSサーバー情報を変更すると、操作はデフォルトで48時間で有効になります。 たとえば、DNSサービスをAlibaba Cloud DNSおよび設定されたDNSレコードに置き換えた場合、変更は48時間後に有効になります。
重要証明書が発行される前に追加したレコードを削除しないでください。 そうでない場合、証明書の発行に失敗します。 証明書の発行後、追加したレコードを削除することを推奨します。 これにより、レコードが後で追加されるときの競合が回避されます。
DNSレコードを追加したら、証明書管理サービスコンソールの 検証情報 ステップに戻り、検証 をクリックします。
TXTレコードが有効になると、DNSレコードが見つかりません。 Certificate Management Serviceコンソールで [検証] をクリックすると、メッセージが表示されることがあります。 これは、証明書管理サービスコンソールがTXTレコードを検証するときにレイテンシが存在するためです。 証明書管理サービスコンソールに表示される検証結果は、参照専用です。 CAによって提供された実際の検証および発行結果が優先されます。 ほとんどの場合、CAは1〜2営業日以内にレビューと発行を完了します。
重要DNSレコードにCAAレコードが含まれている場合は、CAAレコードで指定されたCAが証明書のブランドと一致するかどうかを確認します。 CAがブランドと一致しない場合は、CAAレコードを削除する必要があります。 そうでない場合、証明書の発行に失敗します。 ドメイン名の所有権の検証の詳細については、「ドメイン名の所有権の検証に関するFAQ」をご参照ください。
ファイル検証
ファイル検証を実行する場合は、DV証明書が単一のドメイン名 (s aliyundoc.comなど) にバインドされていることを確認してください。 証明書申請書を提出した後、専用の検証ファイルを手動でダウンロードし、そのファイルを検証ディレクトリにアップロードする必要があります。. よく知られている /pki-validation /webサーバーの CAは、ポート443と80を介して、検証ファイルのHTTPS URLとHTTP URLに順番にアクセスしようとします。 URLにアクセスできる場合、検証は成功です。 次に、CAは証明書を発行する。
CAは、ポート80および443を介してのみ検証要求を開始することができる。 webサーバーでポート80と443が有効になっていることを確認します。
webサーバーでHTTPSサービスが有効になっている場合は、検証ファイルのHttpsアドレスパラメーターで指定されたURLにアクセスでき、証明書が信頼されていることを確認します。 それ以外の場合は、検証が影響を受けないように、webサーバーのHTTPSサービスを一時的に無効にすることをお勧めします。 webサーバーでHTTPSサービスが設定されていない場合は、検証ファイルのHttpアドレスパラメーターで指定されたURLにアクセスできることを確認してください。
検証ファイルのHttpsアドレスまたはHttpアドレスパラメーターで指定されたURLに対して、301リダイレクトまたは302リダイレクトが有効になっていないことを確認します。 リダイレクトが有効になっている場合は、関連する設定をキャンセルしてリダイレクトを無効にする必要があります。
wget -S <URL>コマンドを実行して、URLに対してリダイレクトが有効になっているかどうかを確認できます。DigiCertやGlobalSignなど、中国ブランド以外のブランドの証明書を申請する場合は、中国本土の外部からDNSサーバーにアクセスできることを確認してください。 CAのIPアドレスをDNSサーバーのホワイトリストに一時的に追加することを推奨します。 これにより、CAはDNSサーバーにアクセスし、ドメイン名の所有権の検証を完了できます。 CAのIPアドレスを取得する方法の詳細については、アカウントマネージャーにお問い合わせください。.
ドメイン名が
aliyundoc.comなどの第1レベルのドメイン名である場合は、第2レベルのドメイン名の検証ファイルのURLがwww.にもアクセスできます。 たとえば、第1レベルのドメイン名がaliyundoc.comの場合は、http://aliyundoc.com/.well-known/pki-validation/fileauth.txtとhttp://www.aliyundoc.com/.well-known/pki-validation/fileauth.txtの両方にアクセスできることを確認してください。 それ以外の場合、ドメイン名の所有権の検証は失敗します。ドメイン名がで始まる第2レベルのドメイン名である場合
www.のように、www.example.com、その第1レベルのドメイン名にアクセスできることを確認してください。 たとえば、第2レベルのドメイン名がwww.example.comの場合は、http://www.example.com/.well-known/pki-validation/fileauth.txtとhttp://example.com/.well-known/pki-validation/fileauth.txtの両方にアクセスできることを確認してください。 それ以外の場合、ドメイン名の所有権の検証は失敗します。
手順:
証明書申請書を提出した後、検証ファイルをダウンロード の 検証ファイル をクリックして、検証ファイルパッケージをコンピューターにダウンロードし、パッケージを解凍します。
ZIPパッケージがダウンロードされます。 パッケージの解凍後、検証ファイルfileauth.txtを取得できます。 このファイルは、ダウンロード後3日間のみ有効です。 有効期間内にドメイン名の所有権の検証が完了しない場合は、検証ファイルを再度ダウンロードする必要があります。
重要確認ファイルを取得した後は、ファイルに対する操作を行わないでください。 たとえば、ファイルを開いたり、編集したり、名前を変更したりしないでください。
webサーバーでファイル検証の設定を構成します。 この例では、NGINXがインストールされているElastic Compute Service (ECS) Linuxインスタンスが使用されています。
説明サーバー管理者に助けを求めることを推奨します。
ECS インスタンスに接続します。 詳細については、「ECS インスタンスへの接続」をご参照ください。
次のコマンドを順番に実行して、という名前の検証ディレクトリを作成します。. よく知られている /pki-validation /ECSインスタンスのwebルートディレクトリにあります。 NGINXのデフォルトのwebルートディレクトリは /var/www/html /です。
cd /var/www/html mkdir -p .well-known/pki-validation検証ファイルfileauth.txtを検証ディレクトリ /var/www/html/.well-known/pki-validation /にアップロードします。
ファイルをアップロードするには、PuTTY、Xshell、WinSCPなどのリモートログオンツールのファイルアップロード機能を使用します。 Alibaba Cloud Elastic Compute Service インスタンスにファイルをアップロードする方法の詳細については、「Windowsインスタンスへのファイルのアップロードまたはダウンロード」または「Linuxインスタンスへのファイルのアップロード」をご参照ください。
重要証明書が発行されるまで検証ファイルを削除しないことを推奨します。 証明書が発行される前に検証ファイルを削除した場合、証明書の発行に失敗します。
検証ファイルfileauth.txtをアップロードした後、Certificate Management Serviceコンソールの 証明書申請 パネルに戻ります。 次に、HttpsアドレスおよびHttpアドレスパラメーターで指定されたURLにアクセスできるかどうかを確認します。
Certificate Management Serviceコンソールで、ファイル検証にレイテンシがあります。 がファイルが見つかりません。 [確認] をクリックするとメッセージが表示されます。 1営業日後に検証が完了しない場合は、アップロードした検証ファイルが有効かどうかを確認してください。 証明書管理サービスコンソールに表示される検証結果は、参照専用です。 CAによって提供された実際の検証および発行結果が優先されます。 ほとんどの場合、CAは1〜2営業日以内にレビューと発行を完了します。