IBM Cloud Docs
エッジ証明書の管理

エッジ証明書の管理

IBM Cloud® Internet Services は、3 つのタイプのエッジ証明書 (Universal、Advanced、および Custom) を提供します。

汎用証明書

デフォルトでは、 CIS は、 CISに追加されたすべてのドメインに対して、無料で非共有のパブリック・トラステッド SSL 証明書を発行します。 これらの Universal 証明書の場合、 CIS は有効期間と認証局 (CA) を制御し、更新が常に行われるようにします。 Let's EncryptまたはGoogle Trust Servicesが発行するユニバーサル証明書の有効期間は90日です。

CISは、Universal 証明書の CA を事前の通知なく変更することができ、かかる変更を利用者に通知しない。 独自の発行認証局を選択したい場合は、アドバンスド証明書を注文する。

拡張証明書

拡張証明書は、証明書を発行および管理するための柔軟でカスタマイズ可能な方法を提供します。 拡張証明書は、Universal SSL よりもカスタマイズ可能なものが必要であるが、それでも SSL 証明書の発行と更新の利便性が必要な場合に使用します。

拡張証明書は、 CISから直接注文します。

ユニバーサル証明書および拡張証明書の証明書の有効期間および更新期間

ユニバーサル証明書は常に 90 日間有効で、有効期限が切れる 30 日前に自動的に更新されます。

以下の表に示すように、拡張証明書を使用して、有効期間および自動更新の日付を選択できます。

CIS証明書の有効期間
証明書の有効期間 自動更新期間 詳細
3 カ月 30 日間
1 カ月 7 日間 Let's Encryptではサポートされていません
2 週間 3 日 Let's Encryptではサポートされていません

更新期間はバックエンドで自動化され、カスタマイズすることはできません。

バックアップ証明書

CISがお客様のドメインに権威DNSを提供している場合CISは、発行する標準ユニバーサル証明書ごとにバックアップユニバーサルSSL証明書を発行します。

バックアップ証明書は、GoogleTrust Services、Let's Encrypt、Sectigo、またはSSL.comなど、ドメインのプライマリユニバーサルSSL証明書とは異なる秘密鍵でラップされ、異なる認証局から発行されます。

これらのバックアップ証明書は、通常は配備されないが、証明書の失効や鍵の危殆化の際にCISによって自動的に配備される。

認証局

公的に信頼された証明書については、Cloudflare はさまざまな証明機関 (CA) と提携しています。 以下のCAが選択可能です。 CIS:

  • Let's Encrypt
  • Google Trust Services
  • SSL.com
    • 14日、30日、90日の有効期間をサポート
      • エンタープライズ顧客は1年間の有効期間が利用可能
    • DCVトークンの有効期間は14日間です
    • 互換性ドキュメント
  • DigiCert 非推奨
  • セクティゴ
    • バックアップ証明書にのみ使用されるCISあなたのドメインに権威あるDNSを提供しています
    • 90日間の有効期間をサポート
    • 互換性ドキュメント

カスタム証明書

カスタム証明書は、独自の SSL 証明書を使用するお客様向けです。 これらの証明書を CISにアップロードします。

Universal証明書やAdvanced証明書とは異なり、CISはカスタム証明書の発行や更新を管理しない。 カスタム証明書のアップロード、更新、および有効期限の追跡は、お客様の責任で行っていただきます。

更新および証明書の置換の失敗

CISによって管理される証明書の場合、更新の試行は自動更新期間から始まり、有効期限が切れる 24 時間前まで続きます。 証明書が更新に失敗し、そのホスト名に対して別の有効な証明書が存在する場合、 CIS は過去 24 時間以内に有効な証明書をデプロイします。

CAAレコード

証明機関認証(CAA)DNS レコード ドメインの証明書を発行できる証明機関 (CA) を指定します。 この記録により、不正な証明書の発行の可能性が減り、組織全体の標準化が促進されます。

次の表に、各 CA の CAA レコードの内容を示します。

各 CA の CAA レコード内容
認証局 CAA レコードの内容
Let's Encrypt letsencrypt.org
Google Trust Services pki.goog; cansignhttpexchanges=yes
SSL.com ssl.com
DigiCert digicert.com; cansignhttpexchanges=yes
セクティゴ sectigo.com

証明書のステータス

各証明書のステータスは、発行プロセスのどの段階にあるかを示すものであり、証明書の種類によって異なる。

新しい証明書のステータス

新しい証明書を注文すると、それがエッジ証明書であれ、カスタム・ホスト名に使用される証明書であれ、そのステータスはグローバル・ネットワークに進むにつれてさまざまな段階を経る。

  1. 初期化中
  2. 検証中
  3. 発行保留
  4. 配備待ち
  5. アクティブ

証明書を発行すると、「Pending Validation」に移行し、検証が完了すると「Active」に移行する。 エラーが表示された場合は、証明書を検証するためにさらなるアクションが必要な場合があります。

証明書を非アクティブにすると、その証明書は「Deactivating(非アクティブ)」、「Inactive(非アクティブ)」 の順にステータスが移行する。

カスタム証明書ステータス

カスタム証明書を使用し、ゾーンのステータスが 「保留中」 または「移動中」の場合、証明書のステータスが「配備を保留中」になることがある。

ゾーンがアクティブになると、カスタム証明書は自動的に配備され、Active ステータスに変更されます。 ただし、カスタム証明書をアップロードした時点でゾーンがすでにアクティブになっている場合は、このステータスは表示されない。

ステージング証明書のステータス

ステージング環境で証明書を作成する場合、ステージング証明書は独自のステータス・セットを持つ。

  • ステージング配備:Pending Deployment に似ていますが、ステージング証明書用です。
  • ステージング・アクティブ:Active に似ているが、ステージング証明書用。
  • 無効化中:ステージング証明書が非アクティブになるプロセス中です。
  • 非アクティブ:ステージング証明書はエッジにないが、必要に応じてデプロイできる。

クライアント証明書のステータス

クライアント証明書を使用する場合、そのクライアント証明書は独自のステータス・セットを持つ:

  • アクティブである:クライアント証明書はアクティブである。
  • 取り消された:クライアント証明書が失効している。
  • 再活性化中です:クライアント証明書は失効したが、復元中である。
  • 失効待ち:クライアント証明書はアクティブでしたが、失効中です。