CDN:HTTPS 証明書の設定

事前準備

デプロイメントを成功させるために、以下の要件と制限事項を確認してください：

• 証明書の購入：証明書をお持ちでない場合は、SSL 証明書サービスコンソールに移動して、商用証明書を購入できます。

• 秘密鍵の要件：カスタム証明書をアップロードする場合、秘密鍵はパスワードで保護されていてはなりません。まず、秘密鍵ファイルからパスワード保護が解除されていることを確認する必要があります。

操作手順

1. CDN コンソールにログインします。

2. 左側のナビゲーションウィンドウで、ドメイン名 をクリックします。

3. ドメイン名 ページで、対象のドメイン名を見つけ、操作 列の 管理 をクリックします。

4. ドメインのナビゲーションウィンドウで、HTTPS 設定 をクリックします。

5. HTTPS 証明書 セクションで、変更 をクリックします。

6. HTTPS 設定 ページで、HTTPS セキュアアクセラレーション スイッチをオンにし、証明書パラメーターを設定します。

   • Certificate Management Service (旧 SSL 証明書サービス) から証明書を購入した場合は、SSL 証明書サービス を選択します。次に、証明書名 フィールドで、購入した証明書を選択します。

     説明

     購入した証明書を選択できない場合は、証明書にバインドされているドメイン名が高速化ドメイン名と同じであるか確認してください。

   • サードパーティのサービスプロバイダーによって発行された証明書を使用する場合は、カスタム証明書 (証明書 + プライベートキー) を選択します。証明書名 を指定し、証明書 (公開鍵) と 秘密鍵 をアップロードします。証明書は Alibaba Cloud Certificate Management Service に保存されます。マイ証明書 ページで表示できます。

     カスタム証明書のアップロードには、証明書 (公開鍵) と 秘密鍵 の形式に厳密な要件があります。設定エラーが発生した場合や、設定例が理解できない場合は、「カスタム証明書のアップロード」を参照して、アップロード用の 証明書 (公開鍵) と 秘密鍵 を準備する方法を確認してください。

     パラメーター	説明
     証明書名	アップロードする証明書の名前を設定します。 名前には、文字、ピリオド、数字、アンダースコア (_)、ハイフン (-) のみを含めることができ、一意である必要があります。
     証明書 (公開鍵)	証明書ファイルの PEM エンコードされた内容を入力します。
     秘密鍵	秘密鍵の PEM エンコードされた内容を入力します。秘密鍵は機密情報であるため、アップロード後にコンソールから表示またはエクスポートすることはできません。秘密鍵は安全な場所に保管してください。

7. OK をクリックします。

HTTPS 設定の確認

• ブラウザによる確認：ブラウザで https://your-accelerated-domain-name にアクセスします。アドレスバーにセキュリティロックアイコンが表示され、アイコンをクリックすると正しい証明書情報が表示されれば、設定は成功です。

  

• コマンドラインによる確認：curl -I https://your-accelerated-domain-name コマンドを実行します。200 ステータスコードが返された場合、HTTPS サービスはアクティブです。

HTTPS セキュアアクセラレーションの無効化

HTTPS セキュアアクセラレーションが不要になった場合は、CDN または コンソールでこの機能を無効にできます。変更はすぐに有効になります。機能を無効にすると、クライアントは HTTPS 経由でリソースにアクセスできなくなり、証明書と秘密鍵は保持されません。

再度 HTTPS セキュアアクセラレーションを有効にするには、証明書を再選択する必要があります。

カスタム証明書のアップロード

サードパーティのサービスプロバイダーによって発行された証明書または自己署名証明書をお持ちの場合は、まず CDN がサポートする形式で証明書と秘密鍵を準備し、それらをアップロードする必要があります。

• 証明書 (公開鍵)

  CDN は PEM 形式の証明書のみをサポートしています。証明書が他の形式の場合は、PEM 形式に変換してください。詳細については、「証明書の形式を変換する」をご参照ください。証明書の内容をアップロードするための要件は、認証局によって異なります：

  • ルート認証局によって発行された証明書 (証明書ファイル 1 つ)

    テキストエディターで PEM 証明書ファイルを開きます。-----BEGIN CERTIFICATE----- で始まり -----END CERTIFICATE----- で終わる行を含む、すべての内容をアップロードします。

    -----BEGIN CERTIFICATE-----
    [証明書の内容]
    -----END CERTIFICATE-----

  • 中間認証局によって発行された証明書 (複数の証明書ファイル)
    サーバー証明書とすべての中間 CA 証明書を順番に連結して、単一の証明書チェーンファイルを作成します。ファイルの内容は次の形式に従う必要があります：
    

    -----BEGIN CERTIFICATE-----
    [サーバー証明書の内容]
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    [中間 CA 証明書の内容]
    -----END CERTIFICATE-----

• 秘密鍵
  秘密鍵のファイル拡張子は通常 .key または .pem です。テキストエディターで秘密鍵ファイルを開きます。アップロード要件は、さまざまな秘密鍵の形式で異なります：
  

  • RSA 秘密鍵を直接アップロード

    秘密鍵が -----BEGIN RSA PRIVATE KEY----- で始まり -----END RSA PRIVATE KEY----- で終わる場合、秘密鍵の内容を直接アップロードします。

    -----BEGIN RSA PRIVATE KEY-----
    [秘密鍵の内容]
    -----END RSA PRIVATE KEY-----

  • アップロード前に他の秘密鍵形式を変換

    秘密鍵が -----BEGIN PRIVATE KEY----- で始まり -----END PRIVATE KEY----- で終わる場合は、まず OpenSSL コマンドを使用してキーを変換します。その後、変換された秘密鍵の内容をアップロードします。コマンドでは、old_server_key.pem は元の秘密鍵、new_server_key.pem は変換後の秘密鍵です。

    # 変換対象の秘密鍵
    -----BEGIN PRIVATE KEY-----
    [秘密鍵の内容]
    -----END PRIVATE KEY-----

    # 変換コマンド
    openssl rsa -in old_server_key.pem -out new_server_key.pem

課金

HTTPS セキュアアクセラレーション機能を有効にすると、追加料金が発生します。

• 課金項目：静的コンテンツに対する HTTPS リクエスト。この料金は、CDN データ転送料金とは別に請求されます。アカウントのすべての高速化ドメイン名から開始された静的コンテンツに対する HTTPS リクエストの総数に対して課金されます。

• 課金方法：従量課金両方がサポートされています。

• 課金に関する注意：CDN 送信データ転送プランは、HTTPS リクエストの料金をカバーしません。

関連ドキュメント

よくある質問

• 秘密鍵ファイルからパスワード保護を解除するにはどうすればよいですか？

• オリジンサーバーに HTTPS が設定されています。CDN にも HTTPS を設定する必要がありますか？

• オリジンサーバーの HTTPS 証明書が更新されました。更新を CDN に同期する必要がありますか？

• HTTPS プロトコルを使用して高速化されたドメイン名に、ほとんどのデバイスはアクセスできますが、一部のデバイスがアクセスできないのはなぜですか？

関連 API