Alibaba CloudでのSSL証明書管理完全ガイド

ご覧いただきありがとうございます。ソフトバンクのKANGです。

本記事では、Alibaba Cloud上でSSL証明書を購入し、各種サービス（Global Accelerator、WAF、ALB、CDN、ECSなど）へ適用するまでの流れを整理しています。

通信断の有無や更新時の注意点、業界動向を踏まえた有効期限の短縮への対応など、実際の運用に役立つ情報を網羅しました。よくある質問にも触れており、クラウド環境における安全な通信の確保に向けた実践的な手順をまとめました。

1. SSL証明書の購入からデプロイまでの流れ

Alibaba Cloudでは「Certificate Management Service」を利用してSSL証明書を購入・管理できます。以下が基本的な流れです。

step1: SSL証明書の購入

CMSコンソールにアクセスし、目的に合った証明書（例：GlobalSignのOV型シングルドメイン証明書など）を選んで購入します。IPアドレス単位での申請も、OVシングルドメインに限って可能です。

詳細な購入手順はCertificate Management Serviceをご参照ください。

step2: 証明書の申請・発行

必要事項を入力し申請すると、認証局による承認後にSSL証明書はCMSコンソールからダウンロードできるようになります。

step3: 各プロダクトへの適用

Global Accelerator（GA）

• 証明書をGAに適用する際、通信断は発生しません。

• 証明書と中間証明書をセットで適用する場合も同様に通信断はありません。

• なるべくオフピーク時間帯での適用が推奨されます。

詳細手順はGAの公式ドキュメント(Associate and manage certificates )をご参照ください。

Web Application Firewall（WAF）

• Let's Encryptなどの外部証明書にも対応しています。

• 以下のいずれかの適用方法も利用可能です。

  1. SSL証明書を直接WAFにアップロードします。

  2. CMSコンソールにアクセスし、デプロイ先にWAFを選択します。

• 自動更新には非対応のため、更新時は手動作業が必要。

• 証明書入れ替え時には通信断は発生いたしません。

詳細手順は公式のドキュメントをご参照ください。WAF 3.0 / WAF 2.0　

Application Load Balancer（ALB） 

ALBではSSLリスナーに証明書をバインドすることでHTTPS通信を実現します。

• CMSから証明書を選択し、HTTPSリスナーにバインドする形で適用します。

• 新規または既存リスナーへの変更が可能です。

• 原則として通信断はありませんが、切替はオフピーク時に推奨されます。

詳細手順は公式のドキュメント（Add an HTTPS listener ）をご参照ください。

Alibaba Cloud CDN / OSS

• CDNやOSSへの適用にはCMS（Certificate Management Service）デプロイメントタスクを利用します。

• 適用方法：

  1. CMSコンソールで「デプロイタスク」を作成します。

  2. 証明書を選択 → 対象の CDN/OSS ドメインを指定します。

  3. 即時または指定時刻でデプロイを実行します。

  4. 数分で公開され、HTTPS通信が有効になります。

• 詳細手順はConfigure an SSL certificateをご参照ください。

  ECS（例: Alibaba Cloud Linux）

• ECS側での更新は以下のような操作になります：

  • ssl.confなどに新しい証明書ファイルを指定します。

  • httpdやnginxなどのWebサーバープロセスを再起動します。

• この場合、一時的な接続断（瞬断）が発生します。

• 各WebサーバーへのSSL証明書適用手順：Manually deploy certificates to web application servers

  サードパーティークラウド／製品

　　Alibaba Cloud では、証明書を他社クラウドに集中配信可能な仕組みが提供されています。

•  対応プロダクト例

  • AWS：CloudFront / ALB / NLB / CLB
  • Huawei Cloud：CDN / ELB
  • Tencent Cloud：CDN / CLB / WAF

• 適用方法：

              1. 他クラウドのサブアカウントに適切な権限を付与し、AccessKeyを作成します。

              2. CMS コンソールで “マルチクラウド AK 管理” で鍵情報を登録します。

              3. “マルチクラウド デプロイ”タスクを作成 → 証明書・ターゲットを選択 → 実行の順で実行します。

              4. 即時または時刻指定により一斉適用します。

• 注意点：

  • アップロード証明書の場合、デプロイクォータを消費します。
  • 名前マッチ確認が必須：一致しない場合はデプロイが失敗します。
  • デプロイクォータは失敗時に返却されます。

• 詳細手順はDeploy a certificate to a cloud service of a third-party cloudをご参照ください。

2. SSL証明書の有効期限短縮について

最近、インターネット全体のセキュリティ強化の一環として、SSL証明書の有効期限が段階的に短縮される動きが加速しています。以前は2年から3年といった比較的長期の証明書が一般的でしたが、現在では最長でも13ヶ月（約397日）の有効期間に制限されるようになっています。これは、証明書が不正に使用されるリスクを最小限に抑えるための措置であり、世界的なブラウザベンダーの方針にも沿ったものです。

さらに、2026年3月15日以降は有効期間が200日に短縮される予定であり、将来的には2029年3月15日を境に、最長でも47日間という極めて短い有効期間が標準になる見込みです。Google ChromeやSafariといった主要ブラウザは、すでに長期の証明書に対して警告を表示する仕組みを導入しており、実質的に短命な証明書への移行を求める流れが定着しつつあります。

このような変化に対応するためには、証明書の更新作業を確実に行う体制が不可欠です。運用現場では、毎年の更新を前提としたスケジューリングの見直しや、自動更新が可能な仕組みの整備が求められています。特に複数のサービスやドメインに証明書を適用している場合、人手による更新には限界があるため、更新作業の自動化はもはや選択肢ではなく必須事項となっています。

SSL証明書の有効期限短縮は、利便性よりもセキュリティを重視する現在のクラウド環境において、今後ますます重要なトピックになると考えられます。運用担当者は、変化のスピードを見越した設計と、柔軟に対応できる体制づくりを意識することが求められます。

詳細については、TLS 証明書の有効期間は 47 日へ短縮されることが決定をご参考ください。

3. よくある質問（FAQ）

Q. Alibaba Cloudでは無料のSSL証明書は提供されていますか？

A. 現時点では無料SSL証明書は提供されていません。

Q. 証明書は自動更新されますか？

A. Alibaba Cloud発行証明書は「Select Existing Certificate」で再設定可能ですが、サードパーティ証明書は自動更新不可のため手動アップロードが必要です。

4. まとめ

SSL証明書の管理は、CMSを使うことで非常に効率的に行えます。
以下のような点に気をつけることで、安全かつスムーズな運用が可能です。

• GA・WAF・ALB・CDNは通信断なしで証明書の更新が可能です。
  

• ECSではWebサーバー再起動時に瞬断が発生する点に注意が必要です。
  

• 有効期限の短縮に備えて、運用フローの自動化や定期的な更新体制の整備が重要です。