高速化ドメイン名に HTTPS 証明書を設定すると、クライアントと CDN POP (Point of Presence) 間の通信が暗号化されます。これにより、転送中のデータの傍受や改ざんが防止され、ビジネスのセキュリティが強化されます。Alibaba Cloud Certificate Management Service から購入した証明書は、CDN に一括でデプロイできます。
開始する前に
証明書を正常にデプロイするために、以下を理解してください:
証明書の取得: 証明書を所有していない場合は、Certificate Management Service から購入できます。
秘密鍵の要件: アップロードする秘密鍵はパスワードで保護されていてはなりません。秘密鍵ファイルからパスワード保護を解除できます。
HTTPS 証明書の設定
手順 1: 証明書と秘密鍵の準備
Certificate Management Service から証明書を購入した場合は、手順 2 に進みます。サードパーティの証明書を使用している場合は、証明書とキーを次のフォーマットで整理します。
証明書 (公開鍵)
CDN は PEM エンコードされた証明書と秘密鍵のみをサポートします。他のフォーマットから証明書を変換するには、「証明書のフォーマットを変換する」をご参照ください。アップロードする内容は、発行元の認証局 (CA) によって異なります:
ルート CA によって発行された証明書
-----BEGIN CERTIFICATE-----で始まり-----END CERTIFICATE-----で終わる行を含む、すべての内容をアップロードします。-----BEGIN CERTIFICATE----- [証明書の内容] -----END CERTIFICATE-----中間 CA によって発行された証明書
サーバー証明書とすべての中間 CA 証明書を連結して、完全な証明書チェーンファイルを作成します。ファイルの内容は次のフォーマットに従う必要があります:-----BEGIN CERTIFICATE----- [サーバー証明書の内容] -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- [中間 CA 証明書の内容] -----END CERTIFICATE-----
秘密鍵
秘密鍵のファイル拡張子は通常.pemまたは.keyです。テキストエディターで秘密鍵ファイルを開き、すべての内容をアップロードします:直接アップロード
秘密鍵に
-----BEGIN RSA PRIVATE KEY-----で始まり-----END RSA PRIVATE KEY-----で終わる行が含まれている場合は、秘密鍵を直接アップロードします。-----BEGIN RSA PRIVATE KEY----- [秘密鍵の内容] -----END RSA PRIVATE KEY-----変換してアップロード
秘密鍵が
-----BEGIN PRIVATE KEY-----で始まり-----END PRIVATE KEY-----で終わる場合は、OpenSSL ツールを使用して次のコマンドを実行してフォーマットを変換します。# 秘密鍵を変換する必要があります -----BEGIN PRIVATE KEY----- [秘密鍵の内容] -----END PRIVATE KEY-----old_server_key.pemは元の秘密鍵です。変換されたフォーマットのnew_server_key.pemファイルの内容をアップロードします。# フォーマットを変換 openssl rsa -in old_server_key.pem -out new_server_key.pem
手順 2: コンソールでの証明書の設定
Alibaba Cloud CDN コンソールにログインします。
左側のナビゲーションウィンドウで、ドメイン名 をクリックします。
ドメイン名 ページで、管理するドメイン名を見つけ、操作 列の 管理 をクリックします。
ドメイン名の左側のナビゲーションツリーで、HTTPS 設定 をクリックします。
HTTPS 証明書 セクションで、変更 をクリックします。
HTTPS 設定 ダイアログボックスで、HTTPS セキュアアクセラレーション をオンにし、パラメーターを設定します。
Certificate Management Service から証明書を購入した場合は、SSL 証明書サービス を選択し、証明書名 ドロップダウンリストから証明書を選択します。証明書を一括で設定できます。
説明購入した証明書が見つからない場合は、証明書にバインドされているドメイン名が高速化ドメイン名と一致していることを確認してください。
サードパーティの CA によって発行された証明書を使用している場合は、カスタム証明書 (証明書 + プライベートキー) を選択します。証明書名 を設定した後、証明書 (公開鍵) と 秘密鍵 をアップロードします。証明書は Certificate Management Service に保存されます。[マイ証明書] ページで表示できます。
パラメーター
説明
証明書名
アップロードする証明書の名前を設定します。
名前には、文字、ピリオド (.)、数字、アンダースコア (
_)、ハイフン (-) のみを含めることができます。名前は一意である必要があります。証明書 (公開鍵)
手順 1 の証明書ファイルの PEM エンコードされた内容を入力します。
秘密鍵
手順 1 の秘密鍵ファイルの PEM エンコードされた内容を入力します。機密性が高いため、アップロード後にコンソールから秘密鍵を表示またはエクスポートすることはできません。安全なローカルコピーを保管してください。
OK をクリックします。
手順 3: HTTPS 設定の確認
設定を送信してから約 1 分後、次のいずれかの方法で HTTPS が機能していることを確認します:
ブラウザでの確認: ブラウザを開き、
https://your-accelerated-domain-nameにアクセスします。アドレスバーにセキュリティロックアイコンが表示され、アイコンをクリックすると正しい証明書情報が表示される場合、設定は成功です。
コマンドラインでの確認:
curl -I https://your-accelerated-domain-nameコマンドを実行します。200ステータスコードは、HTTPS サービスがアクティブであることを示します。
HTTPS セキュアアクセラレーションの無効化
HTTPS セキュアアクセラレーションが不要になった場合は、CDN または コンソールでこの機能を無効にします。変更はすぐに有効になります。この機能を無効にすると、クライアントは HTTPS 経由でリソースにアクセスできなくなり、CDN は証明書と秘密鍵を保持しません。
HTTPS セキュアアクセラレーション機能を再度有効にするには、証明書を再選択する必要があります。
課金
HTTPS セキュアアクセラレーション機能を有効にすると、追加料金が発生します。
課金項目: 静的 HTTPS リクエストの数。この料金は CDN データ転送料金とは別で、アカウントのすべての高速化ドメイン名にわたる静的 HTTPS リクエストの総数に基づいて計算されます。
課金方法: 従量課金。
料金に関する注意事項: CDN 送信データ転送プランは、HTTPS リクエストの料金を相殺するために使用することはできません。
参考資料
ドキュメント | 説明 |
URL リダイレクトを設定して、クライアントの HTTP リクエストをより安全な HTTPS リクエストに自動的にリダイレクトします。 | |
セキュリティを強化するために、HTTP Strict Transport Security (HSTS) を有効にして、ブラウザなどのクライアントが HTTPS 経由で POP との接続を確立するように強制します。 | |
POP はオンライン証明書検証結果をキャッシュしてクライアントに提供できます。これにより、ブラウザが CA に証明書のステータスを問い合わせる必要がなくなり、ユーザーの検証時間が短縮されます。 |
よくある質問
関連 API 操作
API | 説明 |
CSR ファイルを作成します。 | |
指定された高速化ドメイン名の証明書情報をクエリします。 | |
ドメイン名の証明書機能を有効または無効にし、証明書情報を更新します。 | |
指定されたドメイン名に HTTPS 証明書を設定します。 | |
証明書情報に基づいて高速化ドメイン名をクエリします。 | |
CDN 証明書の詳細をクエリします。 | |
証明書のリストをクエリします。 | |
指定された証明書の情報をクエリします。 | |
ユーザーのすべての証明書情報をクエリします。 | |
証明書が期限切れになったドメイン名の数をクエリします。 | |
ドメイン名の SM 証明書機能を有効または無効にします。 | |
指定された高速化ドメイン名の SM 証明書のリストをクエリします。 | |
SM 証明書の詳細をクエリします。 |