SSL 証明書の追加 adding-an-ssl-certificate
Cloud Manager のセルフサービスツールを使用して独自の SSL 証明書を追加する方法を説明します。
証明書の要件 certificate-requirements
SSL 証明書管理の概要ドキュメントの 証明書の要件 の節を確認して、追加する証明書が AEM as a Cloud Service でサポートされていることを確認します。
証明書の追加 adding-a-cert
Cloud Manager を使用して証明書を追加するには、次の手順に従います。
-
my.cloudmanager.adobe.com で Cloud Manager にログインし、適切な組織を選択します。
-
マイプログラム 画面でプログラムを選択します。
-
概要 ページから 環境 画面に移動します。
-
画面左側のナビゲーションパネルで「SSL 証明書」をクリックします。既存の SSL 証明書の詳細を示す表がメイン画面に表示されます。
-
「SSL 証明書を追加」をクリックすると、SSL 証明書を追加 ダイアログボックスが開きます。
- 「証明書名」に証明書の名前を入力します。
- これは情報提供だけを目的とし、証明書を簡単に参照するのに役立つ任意の名前を指定できます。
- 証明書、秘密鍵、証明書チェーン の値をそれぞれのフィールドに貼り付けます。3 つのフィールドはすべて必須です。
-
検出されたエラーが表示されます。
- 証明書を保存する前に、すべてのエラーを解決する必要があります。
- 一般的なエラーの対処方法について詳しくは、証明書エラーの節を参照してください。
- 「証明書名」に証明書の名前を入力します。
-
「保存」をクリックして証明書を保存します。
保存すると、証明書が表の新しい行として表示されます。
証明書エラー certificate-errors
証明書が正しくインストールされていないか、Cloud Manager の要件を満たしていない場合は、特定のエラーが発生する場合があります。
証明書ポリシー certificate-policy
次のエラーが発生した場合は、証明書のポリシーを確認してください。
Certificate policy must conform with EV or OV, and not DV policy.
通常、証明書ポリシーは埋め込み OID 値で識別されます。テキストに証明書を出力し、OID を検索すると、証明書のポリシーが表示されます。
次の例を参考にして、証明書の詳細をテキストとして出力できます。
openssl x509 -in 9178c0f58cb8fccc.pem -text
certificate:
Data:
Version: 3 (0x2)
Serial Number:
91:78:c0:f5:8c:b8:fc:cc
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
Validity
Not Before: Nov 10 22:55:36 2021 GMT
Not After : Dec 6 15:35:06 2022 GMT
Subject: C = US, ST = Colorado, L = Denver, O = Alexandra Alwin, CN = adobedigitalimpact.com
Subject Public Key Info:
...
テキスト内の OID パターンは、証明書のポリシータイプを定義します。
2.23.140.1.1
2.23.140.1.2.2
2.23.140.1.2.1
証明書の出力テキストの OID パターンに対して grep
を実行すると、証明書ポリシーを確認できます。
# "EV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.1" -B5
# "OV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.2" -B5
# "DV Policy - Not Accepted"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.1" -B5
正しい証明書の順序 correct-certificate-order
証明書のデプロイに失敗する原因として最もよくあるのは、中間証明書またはチェーン証明書の順序が正しくないことです。
中間証明書ファイルの末尾は、ルート証明書またはルートに最も近い証明書である必要があります。これらは、main/server
証明書からルートへ降順である必要があります。
中間ファイルの順序は、次のコマンドを使用して決定できます。
openssl crl2pkcs7 -nocrl -certfile $CERT_FILE | openssl pkcs7 -print_certs -noout
秘密鍵と main/server
証明書が一致することは、次のコマンドを使用して確認できます。
openssl x509 -noout -modulus -in certificate.pem | openssl md5
openssl rsa -noout -modulus -in ssl.key | openssl md5
main/server
証明書と一致する秘密鍵が見つからない場合は、新しい CSR を生成するか、更新された証明書を SSL ベンダーに要求して、証明書を再入力する必要があります。証明書の有効期限 certificate-validity-dates
Cloud Manager で想定している SSL 証明書の有効期間は現在の日付から少なくとも 90 日間です。証明書チェーンの有効期限を確認します。