SSL 証明書の追加 adding-an-ssl-certificate

Cloud Manager のセルフサービスツールを使用して独自の SSL 証明書を追加する方法を説明します。

TIP
証明書のプロビジョニングには数日かかる場合があります。そのためAdobeでは、期限や運用開始日に先立って証明書を適切にプロビジョニングすることをお勧めします。

証明書の要件 certificate-requirements

SSL 証明書管理の概要ドキュメントの​ 証明書の要件 ​の節を確認して、追加する証明書が AEM as a Cloud Service でサポートされていることを確認します。

証明書の追加 adding-a-cert

Cloud Manager を使用して証明書を追加するには、次の手順に従います。

  1. my.cloudmanager.adobe.com で Cloud Manager にログインし、適切な組織を選択します。

  2. マイプログラム ​コンソールで、プログラムを選択します。

  3. 概要 ​ページから​ 環境 ​画面に移動します。

  4. 画面左側のナビゲーションパネルで「SSL 証明書」をクリックします。既存の SSL 証明書の詳細を示す表がメイン画面に表示されます。

    SSL 証明書の追加

  5. SSL 証明書を追加」をクリックすると、SSL 証明書を追加 ​ダイアログボックスが開きます。

    • 証明書名」に証明書の名前を入力します。
      • これは情報提供だけを目的とし、証明書を簡単に参照するのに役立つ任意の名前を指定できます。
    • 証明書秘密鍵証明書チェーン ​の値をそれぞれのフィールドに貼り付けます。
      • 3 つのフィールドはすべて必須です。

    SSL 証明書を追加ダイアログ

    • 検出されたエラーが表示されます。

      • 証明書を保存する前に、すべてのエラーを解決する必要があります。
      • 一般的なエラーの対処方法について詳しくは、証明書エラーの節を参照してください。
  6. 保存」をクリックして証明書を保存します。

保存すると、証明書が表の新しい行として表示されます。

保存された SSL 証明書

NOTE
Cloud Manager で SSL 証明書をインストールするには、ユーザーが​ ビジネスオーナー ​のメンバーまたは​ デプロイメントマネージャー ​の役割を持っている必要があります。

証明書エラー certificate-errors

証明書が正しくインストールされていないか、Cloud Manager の要件を満たしていない場合は、特定のエラーが発生する場合があります。

正しい証明書の順序 correct-certificate-order

証明書のデプロイに失敗する原因として最もよくあるのは、中間証明書またはチェーン証明書の順序が正しくないことです。

中間証明書ファイルの末尾は、ルート証明書またはルートに最も近い証明書である必要があります。これらは、main/server 証明書からルートへ降順である必要があります。

中間ファイルの順序は、次のコマンドを使用して決定できます。

openssl crl2pkcs7 -nocrl -certfile $CERT_FILE | openssl pkcs7 -print_certs -noout

秘密鍵と main/server 証明書が一致することは、次のコマンドを使用して確認できます。

openssl x509 -noout -modulus -in certificate.pem | openssl md5
openssl rsa -noout -modulus -in ssl.key | openssl md5
NOTE
これらの 2 つのコマンドの出力は、完全に同じである必要があります。main/server 証明書と一致する秘密鍵が見つからない場合は、新しい CSR を生成するか、更新された証明書を SSL ベンダーに要求して、証明書を再入力する必要があります。

クライアント証明書の削除 client-certificates

証明書を追加する際に、次のようなエラーが表示される場合があります。

The Subject of an intermediate certificate must match the issuer in the previous certificate. The SKI of an intermediate certificate must match the AKI of the previous certificate.

クライアント証明書が証明書チェーンに含まれた可能性があります。チェーンにクライアント証明書が含まれていないことを確認し、もう一度お試しください。

証明書ポリシー certificate-policy

次のエラーが発生した場合は、証明書のポリシーを確認してください。

Certificate policy must conform with EV or OV, and not DV policy.

通常、証明書ポリシーは埋め込み OID 値で識別されます。テキストに証明書を出力し、OID を検索すると、証明書のポリシーが表示されます。

次の例を参考にして、証明書の詳細をテキストとして出力できます。

openssl x509 -in 9178c0f58cb8fccc.pem -text
certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            91:78:c0:f5:8c:b8:fc:cc
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
        Validity
            Not Before: Nov 10 22:55:36 2021 GMT
            Not After : Dec  6 15:35:06 2022 GMT
        Subject: C = US, ST = Colorado, L = Denver, O = Alexandra Alwin, CN = adobedigitalimpact.com
        Subject Public Key Info:
...

テキスト内の OID パターンは、証明書のポリシータイプを定義します。

パターン
ポリシー
Cloud Manager で受け入れ可能
2.23.140.1.1
EV
はい
2.23.140.1.2.2
OV
はい
2.23.140.1.2.1
DV
いいえ

証明書の出力テキストの OID パターンに対して grep を実行すると、証明書ポリシーを確認できます。

# "EV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.1" -B5

# "OV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.2" -B5

# "DV Policy - Not Accepted"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.1" -B5

証明書の有効期限 certificate-validity-dates

Cloud Manager で想定している SSL 証明書の有効期間は現在の日付から少なくとも 90 日間です。証明書チェーンの有効期限を確認します。

次の手順 next-steps

これで完了です。これで、プロジェクトの SSL 証明書が機能するようになりました。 これは、多くの場合、カスタムドメイン名を設定するための最初の手順です。

  • カスタムドメイン名の設定を続行するには、 カスタムドメイン名の追加ドキュメントを参照してください。
  • Cloud Managerでの SSL 証明書の更新と管理について詳しくは、SSL 証明書の管理のドキュメントを参照してください。
recommendation-more-help
fbcff2a9-b6fe-4574-b04a-21e75df764ab