Dynamic Content Delivery Network (DCDN) は HTTPS セキュアアクセラレーションをサポートしています。DCDN コンソールに SSL 証明書をデプロイし、HTTPS セキュアアクセラレーションを有効にして、クライアントと Points of Presence (POP) 間のリクエストを暗号化できます。
前提条件
高速化ドメイン名用に SSL 証明書が準備されています。
SSL 証明書を購入する場合は、SSL 証明書サービス コンソール
サードパーティ CA によって発行された証明書は、証明書の形式要件を満たしている必要があります。詳細については、「証明書の形式」をご参照ください。
クライアントが DCDN POP との SSL ハンドシェイクを開始する際に、サーバ名表示 (SNI) 情報を転送しない場合、DCDN POP はハンドシェイクの成功を保証できません。
使用上の注意
PEM 形式の証明書のみがサポートされています。他の形式の証明書は PEM 形式に変換できます。詳細については、「証明書の形式を変換する」をご参照ください。
サードパーティ CA によって発行された証明書をアップロードする場合は、パスワード保護されていない秘密鍵を使用してください。
SSL 証明書サービス から購入した SSL 証明書を、DCDN コンソールで複数のドメイン名にデプロイできます。詳細については、「複数のドメイン名に SSL 証明書を設定する」をご参照ください。
SSL 証明書を表示できます。秘密鍵は機密情報と見なされるため、表示できません。証明書関連の情報を機密にしてください。
DCDN 以外の環境に秘密鍵を公開したくない場合は、Alibaba Cloud SSL 証明書サービスが提供する証明書署名リクエスト (CSR) ツールを使用して、RSA (Rivest-Shamir-Adleman)、SM2 (ShangMi2)、および ECC (Elliptic-curve cryptography) などのアルゴリズムに基づいて CSR と秘密鍵を生成できます。既存の CSR をアップロードすることもできます。詳細については、「CSR を管理する」をご参照ください。
HTTPS 経由のエンドツーエンドのデータ転送を有効にする場合は、HTTPS 経由のオリジンフェッチを設定する必要があります。オリジンサーバーが HTTPS をサポートしていることを確認してください。
クライアントが DCDN POP との SSL ハンドシェイクを開始する際に、サーバ名表示 (SNI) 情報を転送しない場合、DCDN POP はハンドシェイクの成功を保証できません。
SSL 証明書を設定または更新する
HTTPS セキュアアクセラレーションは付加価値サービスです。HTTPS を有効にすると、HTTPS リクエストの数に基づいて課金されます。このような料金は、DCDN データ転送プランでは相殺できません。詳細については、「HTTPS および HTTP リクエストの課金」をご参照ください。
DCDN コンソール にログインします。
左側のナビゲーションウィンドウで、ドメイン名 をクリックします。
ドメイン名 ページで、管理するドメイン名を探し、設定 をクリックします。
ドメイン名の左側のナビゲーションツリーで、HTTPS 設定 をクリックします。
SSL 証明書 セクションで、設定の変更 をクリックします。
HTTPS 設定 ダイアログボックスで、SSL アクセラレーション をオンにして、証明書パラメータを設定します。
Alibaba Cloud SSL 証明書サービスから証明書を購入した場合は、[証明書のソース] パラメータを SSL 証明書サービス に設定し、証明書名 ドロップダウンリストから購入した証明書を選択します。
説明購入した証明書が使用できない場合は、購入した証明書に関連付けられているドメイン名が Web サイトのドメイン名であるかどうかを確認してください。
サードパーティ CA によって発行された証明書を使用する場合は、[証明書のソース] パラメータを カスタム証明書 (証明書 + 秘密鍵) に設定します。証明書名 パラメータを設定した後、証明書 (公開鍵) パラメータと 秘密鍵 パラメータを設定します。その後、証明書は Alibaba Cloud SSL 証明書サービスに保存されます。[SSL 証明書の管理] ページで証明書を表示できます。
パラメータ
説明
証明書名
アップロードする証明書の名前を入力します。
名前には、文字、数字、ピリオド (.)、アンダースコア (_)、およびハイフン (-) を使用できます。
説明証明書名は一意である必要があります。[SSL 証明書の管理] ページで既存の証明書を表示できます。
証明書がすでに存在するというメッセージが表示された場合は、証明書名を変更して、証明書を再アップロードしてください。
証明書 (公開鍵)
PEM エンコードされた証明書ファイルの内容を入力します。
テキストエディタを使用して、PEM 形式の証明書ファイルを開くことができます。次に、内容を [証明書 (公開鍵)] フィールドにコピーします。
詳細については、[証明書 (公開鍵)] フィールドの下にある Pem コードの例 をクリックしてください。
秘密鍵
アップロードする証明書の PEM エンコードされた秘密鍵ファイルの内容を入力します。
テキストエディタを使用して、KEY 形式の秘密鍵ファイルを開くことができます。次に、内容を [秘密鍵] フィールドにコピーします。
詳細については、[秘密鍵] フィールドの下にある Pem コードの例 をクリックしてください。
説明「----- BEGIN PRIVATE KEY -----」で始まり「----- END PRIVATE KEY -----」で終わる秘密鍵を取得した場合は、OpenSSL ツールを使用して次のコマンドを実行して秘密鍵を変換します。次に、
new_server_key.pemファイルの内容を [秘密鍵] フィールドにコピーします。openssl rsa -in old_server_key.pem -out new_server_key.pem
OK をクリックします。
HTTPS セキュアアクセラレーションが有効になっているかどうかを確認する
SSL 証明書をアップロードした後、証明書は 1 分以内に有効になります。SSL 証明書が有効になっているかどうかを確認するには、HTTPS リクエストを送信してリソースにアクセスします。ブラウザのアドレスバーに URL がロックアイコン付きで表示されている場合、HTTPS セキュアアクセラレーションは正常に動作しています。
SSL 証明書を設定した後、証明書の有効期限に注意してください。証明書の有効期限が切れる前に、新しい証明書を設定する必要があります。
HTTPS セキュアアクセラレーションを無効にする
HTTPS セキュアアクセラレーションが不要になった場合は、DCDN コンソールでこの機能を無効にすることができます。HTTPS セキュアアクセラレーションの無効化はすぐに有効になります。HTTPS セキュアアクセラレーションを無効にすると、HTTPS 経由でリソースにアクセスできなくなり、SSL 証明書と秘密鍵は保持されなくなります。
HTTPS セキュアアクセラレーションを再度有効にする場合は、別の SSL 証明書を選択してください。