Alibaba Cloud CDN は HTTPS 証明書の設定をサポートしています。 Alibaba Cloud CDN コンソールに SSL 証明書をデプロイして、クライアントと Points of Presence (POP) 間のリクエストを暗号化できます。
前提条件
高速化ドメイン名用に SSL 証明書が準備されています。
SSL 証明書を購入する場合は、SSL Certificates Service コンソール
サードパーティの認証局 (CA) によって発行された証明書は、証明書の形式要件を満たしている必要があります。 詳細については、「証明書の形式」をご参照ください。
使用上の注意
PEM 形式の証明書のみがサポートされています。 他の形式の証明書は PEM 形式に変換できます。 詳細については、「証明書の形式を変換する」をご参照ください。
サードパーティ CA によって発行された証明書をアップロードする場合は、パスワード保護されていない秘密鍵を使用してください。
SSL Certificates Service から購入した SSL 証明書は、Alibaba Cloud CDN コンソールで複数のドメイン名にデプロイできます。 詳細については、「複数のドメイン名に SSL 証明書を設定する」をご参照ください。
SSL 証明書を表示できます。 秘密鍵は機密情報と見なされるため、表示できません。 証明書関連の情報を機密にしてください。
Alibaba Cloud CDN 以外の環境に秘密鍵を公開したくない場合は、Alibaba Cloud SSL Certificates Service が提供する証明書署名要求 (CSR) ツールを使用して、Rivest-Shamir-Adleman (RSA) および Elliptic-curve cryptography (ECC) などのアルゴリズムに基づいて CSR と秘密鍵を生成できます。 既存の CSR をアップロードすることもできます。 詳細については、「CSR を作成またはアップロードする」をご参照ください。
HTTPS 経由でエンドツーエンドのデータ転送を有効にする場合は、HTTPS 経由のオリジンフェッチを設定する必要があります。 オリジンサーバーが HTTPS をサポートしていることを確認してください。
クライアントが CDN POP との SSL ハンドシェイクを開始するときに、Server Name Indication (SNI) 情報を転送しない場合、CDN POP はハンドシェイクの成功を保証できません。
課金
Alibaba Cloud CDN で HTTPS を有効にすると、従量課金課金方法に基づいて、静的コンテンツの HTTPS リクエストに対して課金されます。
SSL 証明書を設定または更新する
[Alibaba Cloud CDN] コンソールにログインします。
左側のナビゲーションウィンドウで、ドメイン名 をクリックします。
ドメイン名 ページで、管理するドメイン名を探し、管理 列の アクション をクリックします。
ドメイン名の左側のナビゲーションツリーで、HTTPS 設定 をクリックします。
HTTPS 証明書 セクションで、変更 をクリックします。
HTTPS 設定 ダイアログボックスで、HTTPS セキュアアクセラレーション をオンにして、パラメータを設定します。
Alibaba Cloud SSL Certificates Service から証明書を購入した場合は、[証明書のソース] パラメータを SSL 証明書サービス に設定し、証明書名 ドロップダウンリストから購入した証明書を選択します。
説明購入した証明書が使用できない場合は、購入した証明書に関連付けられているドメイン名が高速化ドメイン名であるかどうかを確認してください。
サードパーティ CA によって発行された証明書を使用する場合は、[証明書のソース] パラメータを カスタム証明書 (証明書 + プライベートキー) に設定します。 証明書名 パラメータを設定した後、証明書 (公開鍵) パラメータと 秘密鍵 パラメータを設定します。 その後、証明書は Alibaba Cloud SSL Certificates Service に保存されます。 [SSL 証明書の管理] ページで証明書を表示できます。
パラメータ
説明
証明書名
アップロードする証明書の名前を入力します。
名前に使用できるのは、文字、数字、ピリオド (.)、アンダースコア (_)、ハイフン (-) です。
説明証明書名は一意である必要があります。 [SSL 証明書] ページで既存の証明書を表示できます。
証明書がすでに存在するというメッセージが表示された場合は、証明書名を変更して、証明書を再アップロードしてください。
証明書 (公開鍵)
PEM エンコードされた証明書ファイルの内容を入力します。
テキストエディタを使用して、PEM 形式の証明書ファイルを開くことができます。 次に、内容を [証明書 (公開鍵)] フィールドにコピーします。
詳細については、[証明書 (公開鍵)] フィールドの下にある Pem エンコーディング参照例 をクリックしてください。
秘密鍵
PEM エンコードされた秘密鍵ファイルの内容を入力します。
テキストエディタを使用して、KEY 形式の秘密鍵ファイルを開くことができます。 次に、内容を [秘密鍵] フィールドにコピーします。
詳細については、[秘密鍵] フィールドの下にある Pem エンコーディング参照例 をクリックしてください。
説明「----- BEGIN PRIVATE KEY -----」で始まり、「----- END PRIVATE KEY -----」で終わる秘密鍵を取得した場合は、OpenSSL ツールを使用して次のコマンドを実行して秘密鍵の形式を変換します。 次に、
new_server_key.pemファイルの内容を [秘密鍵] フィールドにコピーします。openssl rsa -in old_server_key.pem -out new_server_key.pem
OK をクリックします。
HTTPS セキュアアクセラレーションが有効になっているかどうかを確認する
SSL 証明書をアップロードした後、証明書は 1 分以内に有効になります。 証明書が有効になっているかどうかを確認するには、HTTPS リクエストを送信してリソースにアクセスします。 ブラウザのアドレスバーに URL がロックアイコン付きで表示されている場合、HTTPS は正常に動作しています。
SSL 証明書を設定したら、証明書の有効期限に注意してください。 証明書の有効期限が切れる前に、新しい証明書を設定する必要があります。
HTTPS セキュアアクセラレーションを無効にする
Alibaba Cloud CDN コンソールで HTTPS セキュアアクセラレーションが不要になった場合は、この機能を無効にすることができます。 HTTPS セキュアアクセラレーションを無効にすると、すぐに有効になります。 HTTPS セキュアアクセラレーションを無効にすると、HTTPS 経由でリソースにアクセスできなくなり、SSL 証明書と秘密鍵は保持されなくなります。
HTTPS セキュアアクセラレーションを再度有効にする場合は、別の SSL 証明書を選択してください。
関連情報
トピック | 説明 |
URL リダイレクト機能を設定して、クライアントから POP へのリクエストを HTTPS に強制的にリダイレクトできます。 | |
HTTP Strict Transport Security (HSTS) を設定すると、ブラウザなどのクライアントは POP への HTTPS 接続のみを確立できるようになり、セキュリティが向上します。 | |
POP は証明書の検証結果をキャッシュし、クライアントが CA で証明書を検証する必要なく、結果をクライアントに送信します。 これにより、検証時間が短縮されます。 |
よくある質問
関連 API 操作
API 操作 | 説明 |
証明書署名要求 ( CSR ) を作成します。 | |
高速化ドメイン名に関する証明書情報を照会します。 | |
ドメイン名の証明書を有効または無効にし、証明書情報を変更します。 | |
指定されたドメイン名に SSL 証明書を設定します。 | |
SSL 証明書で高速化ドメイン名を照会します。 | |
SSL 証明書の詳細情報を照会します。 | |
証明書に関する情報を照会します。 | |
指定された SSL 証明書の情報を照会します。 | |
Alibaba Cloud アカウント内の SSL 証明書に関する情報をクエリします。 | |
SSL 証明書の有効期限が切れそうになっているか、既に期限切れになっているドメイン名の数をクエリします。 | |
ドメイン名に対して ShangMi (SM) 証明書を有効または無効にします。 | |
高速化ドメイン名の SM 証明書を照会します。 | |
SM 証明書の詳細をクエリします。 |