Alibaba Cloud SSL Certificates Serviceのよくある質問と申請過程の解説


1. はじめに


こんにちは、サポートエンジニアのSです。

今回は、Alibaba Cloud SSL Certificates Serviceによくある質問のまとめと実際に申請してみた過程をご紹介します。

「Alibaba Cloud SSL Certificates Service」で取り扱うSSL証明書についての記事になります。

Alibaba Cloud内の他製品では、このナレッジの限りではない場合があります。

発行業者として、Entrust社にてSSL証明書の発行を行っております。

Entrust社の仕様変更があった場合、本記事の内容と差異が発生する場合があります。

本記事は2020年3月時点のものです。弊社ではドキュメントセンターにて、ドキュメントを公開しておりますので、事象解決の一助となれば幸いです。

Alibaba Cloud SSL Certificates Service


2. よくある質問


2.1. 証明書のタイプについて


SSL証明書サービスで購入可能な証明書のタイプは、OV(Organization Validation)とEV(Extended Validation)のみになります。

DV(Domain Validation)については、対応しておりません。

証明書タイプの詳細については、ドキュメントセンターをご覧下さい。

クイックスタート


2.2. 購入の取り消しについて


誤って購入ボタンを押された後に取り消しを希望される場合、申請前の段階のみ承ります。まだ証明書が申請されていないようでしたら、お早めにコンソールからチケットにてお問い合わせ下さい。

証明書が発行中に入った後の取り消しのご相談は、承っておりません。


2.3. 証明書の更新について


コンソールからご購入頂いたSSL証明書についてですが、期限を更新する操作に対応しておりません。   証明書を更新される際は、お手数ですが新規ご購入をお願い致します。

また、更新時の有効期間ですが、旧証明書の期間切れ日から計算ではなく、新証明書の購入日から計算となります。


2.4. 証明書発行までの期間について


ご申請に問題がない場合は、通常5~7営業日程度頂いております。

恐れ入りますが、早期調整ができませんので、期限切れを迎えないよう、お早めにご対応をお願い致します。 


2.5. 購入後の更新通知について


ご購入後、有効期限切れが近づきますと、ご案内のメールをお送りしております。
※迷惑メールで弾かれないため、サンプルメールは記載しておいた方が良いかも。

ただし、前述の通り、コンソールからご購入頂いたSSL証明書については、更新は対応してなく新規購入をお願い致します。


2.6. 証明書の自動更新について


コンソールよりご購入頂くOV、EV証明書は、前述の通り、いずれも更新に対応しておりません。

お手数ですが、更新時は新規購入をお願い致します。


2.7. 証明書のエクスポートについて


コンソールにて購入されたSSL証明書のみ、エクスポートが可能です。   お客様にてコンソールへアップロードされたものは、エクスポートできませんので、必ずオリジナルの証明書はお手元に保管してください。


2.8. RAMユーザーがSSL証明書用の権限について


RAMユーザーがSSL証明書を購入する際に必要になる権限付与ポリシーについて、下記権限が必要です。

  • AliyunYundunCertReadOnlyAccess
  • AliyunBSSFullAccess


2.9. 証明書の代理申請について


コンソールから代理購入の形で申請自体は可能ですが、 推奨はしておりません。


2.10. SSL証明書の対象となるドメイン名に制限について


ドメイン名に制限はございません。例えば、中国リージョンにあるwebサーバ向けに、.cnドメイン用のSSL証明書も発行できるできます。

ただし、漢字ドメインの証明書発行は対応しております。(対応しない例:ドメイン.com)


2.11. リージョンの違いについて


「Alibaba Cloud SSL Certificates Service」コンソールに複数のリージョンがありますが、どちらのリージョンでもご利用いただけますので、特に影響はございません。
※日本サイトでは証明書の購入には「東京」、「シドニー」、「ドバイ」三つのリージョンを提供しております。


2.12. 「www」のサブドメインの取り扱いについて


EntrustでトップドメインのSSLサーバ証明書を申し込む際に、デフォルトで「www」のサブドメインとドメインが登録されますが、Entrust社の仕様によるもので、マルチドメインの申請時はご注意下さい。

 例1:「domain.com」単一ドメインの申請時。 「domain.com」に加えて「www.domain.com」を含んだ形で証明書が発行されます。

 例2:「domain.com」「example.com」複数ドメインの申請時。 「domain.com」「example.com」に加えて「www.domain.com」のみ含み 「www.example.com」は含まない形で証明書が発行されます。

「www」サブドメインの自動付与は、証明書1つにつき、1ドメイン限定となっております。

マルチドメイン証明書に複数ドメインを申請した場合、最初のドメインかつトップドメインである場合のみ「www」証明書自動付与の対象となります。


2.13. ワイルドカード証明書のトップドメインの取り扱いについて


Entrustが発行したワイルドカードSSLサーバ証明書にトップドメインがが含まれない仕様となりますので、申請時はご注意下さい。

 例:「*.domain.com」ワイルドカードドメインの申請時。

「domain.com」は保護対象外になりますので、発行されたワイルドカード証明書は「domain.com」の証明書として利用できません。


3. 申請過程の解説

1. 「Alibaba Cloud SSL Certificates Service」コンソールにて「証明書の購入」をクリックします。

2. 購入ページにて、購入リージョン、証明書タイプ、ドメインタイプ、ドメイン数(マルチドメイン証明書のみ)、数量、期間を指定して、「今すぐ購入」をクリックします。 f:id:sbc_jys:20200317183913j:plain

3. 購入済の証明書インスタンスはコンソールの「未発行」カテゴリに表示されますので、次は「証明書の申し込み」をクリックします。 f:id:sbc_jys:20200317183954j:plain

4. 申請するドメイン、会社名、組織ID(会社法人等番号)、所在地(都道府県)、会社住所、郵便番号、申請者名、電話番号、メールアドレス、役職、部署、CSRを選定して、「次へ」をクリックします。 f:id:sbc_jys:20200317185016j:plain

5. 次の画面で「送信」をクリックします。

6. 証明書の発行予定日が表示されます。 f:id:sbc_jys:20200317184056j:plain

7. 申請のメールアドレスに、下記タイトルのメールが届き、メール内のリンクをクリックし、申請を承認します。

*Action Required* - Your Consent Is Required: Order #000000

8. メールを承認した翌日、申請会社の代表番号に、Entrust社から申請者宛に電話をかかって来ました。「申請したことに間違いないか」の確認となります。申請した旨を伝えることで電話確認終了となります。

9. 次はドメイン所有者確認となります。Entrust社から下記メールが届きました。WHOISに記載されてるドメインの管理メールアドレスにメール送信したようです。

恐れ入りますが、コンタクト先の方に使用許諾メールのご確認をして頂けないでしょうか?

もし使用許諾メールで認証できない場合は下記2つのどちらかのご対応をお願いすることになります。
Option #1
指定されたランダム値を使用してDNSレコードのDNS TXTエントリを変更していただく。
Option #2
指定されたランダム値を含めるようにウェブページを修正していただく。
証明書を反映させるサーバーにてウェブページが登録されているページを1枚ご追加頂き、ランダム値をご記載ください。
このページのフォーマットは、 "/.well-known/pki-validation/entrustdatacard.html"でお願いします。
(例:ドメイン名/ .well-known / pki-validation / entrustdatacard.html)。
なお弊社で確認できるように、ウェブページは公開にしていただく必要がございます。

Option#1もしくは#2でご対応頂く場合はランダム値をお送りしますので、ご連絡をお願いします。

10. 今回はOption#1を利用して認証します。Entrust社とメールやり取りで、指定されたTXTレコードをDNSに登録し、返信したら、下記メールが届きました。なんと今夜発行されそうです。

お世話になっております。

DNS TXT entryについてご連絡いただきありがとうございました。
認証作業が終了し、証明書が日本時間の今夜に発行される予定です。
電子メールでお知らせされますのでご確認いただければと思います。

何卒よろしくお願い申し上げます。

11. 翌日下記メールが届き、申請完了となります。

お世話になっております。
 
SSL証明書(ご注文番号 00000000)の認証作業が終了し、
証明書が電子メールで送付されましたのでご確認くださいませ(「auto-notice@entrust.com」のメールアドレスから送信されております)。
 
今後とも何卒よろしくお願い申し上げます。

12. Alibaba Cloud SSL Certificates Serviceコンソールに発行された証明書が表示され、ダウンロードできるようになりました。


4. 最後に


Alibaba Cloud SSL Certificates Serviceのよくある質問と実際の申請過程を紹介させていただきました。通常5~7営業日予定ですが、順調であれば3営業日で発行できたことがわかりました。

Alibaba Cloudの利用中、SSL証明書を申請したい場合、Alibaba Cloud SSL Certificates Service使ってみてはいかがでしょうか。

最後まで読んでいただき、ありがとうございました。