すべてのプロダクト
Search

このプロダクト

    Edge Security Acceleration:オリジン証明書

    ドキュメントセンター

    Edge Security Acceleration:オリジン証明書

    最終更新日:Jul 12, 2025

    ESA の「オリジン証明書」機能では、オリジンプロトコルとポート、オリジン証明書の検証、および認証済みオリジンへのプルを設定できます。 ESA の POP (Point of Presence) がオリジンフェッチに使用するプロトコルとポートを指定できます。 「オリジン証明書の検証」では、オリジンサーバーから返される証明書が有効であることを確認します。 オリジンサーバーで mTLS 相互認証が有効になっており、ESA の ID を検証する必要がある場合は、「認証済みオリジンへのプル」を有効にすることで、両者間のセキュリティ認証を実装できます。

    オリジンプロトコルとポートを設定する

    設定されている場合、ESA POP は、指定されたオリジンプロトコルとポートを使用してリソースをリクエストします。

    1. ESA コンソールで、[ウェブサイト] を選択し、管理するウェブサイトの名前をクリックします。

    2. 左側のナビゲーションウィンドウで、[SSL/TLS] > [オリジン証明書] を選択します。

    3. [オリジンプロトコルとポート] セクションで、[設定] をクリックし、[オリジンプロトコル][HTTP ポート]、および [HTTPS ポート] を設定します。

      image

      以下はオプションの説明です。

      • オリジンプロトコル

        • クライアントと一致:デフォルト。 クライアントが HTTP または HTTPS リクエストを送信すると、ESA POP はクライアントが使用したプロトコルを介してオリジンサーバーにリクエストをリダイレクトします。

        • HTTP: ESA POP は、HTTP のみを使用してオリジンサーバーからコンテンツを取得します。

        • HTTPS: ESA POP は、HTTPS のみを使用してオリジンサーバーからコンテンツを取得します。オリジンサーバーに有効な証明書があり、HTTPS が有効になっていることを確認してください。

      • HTTP ポート

        • ESA POP が HTTP プロトコルを介してオリジンからフェッチするオリジンポートです。ポートの有効値は 1~65535 です。

      • HTTPS ポート

        • ESA POP が HTTPS プロトコルを介してオリジンからフェッチするオリジンポートです。ポートの有効値は 1~65535 です。

        • デフォルト:ESA POP は、クライアントが使用したプロトコルを介してオリジンサーバーにリクエストをリダイレクトします。

    4. [OK] をクリックします。

    説明

    このオプションを設定しない場合、デフォルトで [クライアントと一致] が使用されます。

    オリジン証明書の検証

    デフォルトでは、HTTPS プロトコルでのオリジンフェッチ時に、ESA はオリジン証明書を検証しません。ウェブサイトのセキュリティを強化してオリジンフェッチトラフィックの悪意のあるハイジャックを防ぐには、オリジン証明書の検証機能を有効にしてください。有効にすると、ESA は、有効期限、ドメイン名、ルート検証など、オリジンサーバーの証明書の詳細を検証します。検証が失敗した場合、オリジンへのハンドシェイクは失敗し、クライアントには 502 ステータスコードが返されます。

    ルート証明書の検証

    デフォルトで、ESA は、一連のルート証明書を使用してオリジン証明書を検証します。[オリジン証明書の検証] を有効にする前に、オリジン証明書が次のルート証明書によって発行されていることを確認してください。そうでない場合、検証は失敗します。

    ルート証明書

      /*
   * Issuer: CN=DigiCert TLS ECC P384 Root G5 O=DigiCert, Inc.
   * Subject: CN=DigiCert TLS ECC P384 Root G5 O=DigiCert, Inc.
   * Label: "DigiCert TLS ECC P384 Root G5"
   * Serial: 13129116028163249804115411775095713523
   * MD5 Fingerprint: d3:71:04:6a:43:1c:db:a6:59:e1:a8:a3:aa:c5:71:ed
   * SHA1 Fingerprint: 17:f3:de:5e:9f:0f:19:e9:8e:f6:1f:32:26:6e:20:c4:07:ae:30:ee
   * SHA256 Fingerprint: 01:8e:13:f0:77:25:32:cf:80:9b:d1:b1:72:81:86:72:83:fc:48:c6:e1:3b:e9:c6:98:12:85:4a:49:0c:1b:05
   * -----BEGIN CERTIFICATE-----
   * MIICGTCCAZ+gAwIBAgIQCeCTZaz32ci5PhwLBCou8zAKBggqhkjOPQQDAzBOMQsw
   * CQYDVQQGEwJVUzEXMBUGA1UEChMORGlnaUNlcnQsIEluYy4xJjAkBgNVBAMTHURp
   * Z2lDZXJ0IFRMUyBFQ0MgUDM4NCBSb290IEc1MB4XDTIxMDExNTAwMDAwMFoXDTQ2
   * MDExNDIzNTk1OVowTjELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDkRpZ2lDZXJ0LCBJ
   * bmMuMSYwJAYDVQQDEx1EaWdpQ2VydCBUTFMgRUNDIFAzODQgUm9vdCBHNTB2MBAG
   * ByqGSM49AgEGBSuBBAAiA2IABMFEoc8Rl1Ca3iOCNQfN0MsYndLxf3c1TzvdlHJS
   * 7cI7+Oz6e2tYIOyZrsn8aLN1udsJ7MgT9U7GCh1mMEy7H0cKPGEQQil8pQgO4CLp
   * 0zVozptjn4S1mU1YoI71VOeVyaNCMEAwHQYDVR0OBBYEFMFRRVBZqz7nLFr6ICIS
   * B4CIfBFqMA4GA1UdDwEB/wQEAwIBhjAPBgNVHRMBAf8EBTADAQH/MAoGCCqGSM49
   * BAMDA2gAMGUCMQCJao1H5+z8blUD2WdsJk6Dxv3J+ysTvLd6jLRl0mlpYxNjOyZQ
   * LgGheQaRnUi/wr4CMEfDFXuxoJGZSZOoPHzoRgaLLPIxAJSdYsiJvRmEFOml+wG4
   * DXZDjC5Ty3zfDBeWUA==
   * -----END CERTIFICATE-----
   */


  /*
   * Issuer: CN=Entrust Root Certification Authority - EC1 O=Entrust, Inc. OU=See www.entrust.net/legal-terms/(c) 2012 Entrust, Inc. - for authorized use only
   * Subject: CN=Entrust Root Certification Authority - EC1 O=Entrust, Inc. OU=See www.entrust.net/legal-terms/(c) 2012 Entrust, Inc. - for authorized use only
   * Label: "Entrust Root Certification Authority - EC1"
   * Serial: 51543124481930649114116133369
   * MD5 Fingerprint: b6:7e:1d:f0:58:c5:49:6c:24:3b:3d:ed:98:18:ed:bc
   * SHA1 Fingerprint: 20:d8:06:40:df:9b:25:f5:12:25:3a:11:ea:f7:59:8a:eb:14:b5:47
   * SHA256 Fingerprint: 02:ed:0e:b2:8c:14:da:45:16:5c:56:67:91:70:0d:64:51:d7:fb:56:f0:b2:ab:1d:3b:8e:b0:70:e5:6e:df:f5
   * -----BEGIN CERTIFICATE-----
   * MIIC+TCCAoCgAwIBAgINAKaLeSkAAAAAUNCR+TAKBggqhkjOPQQDAzCBvzELMAkG
   * A1UEBhMCVVMxFjAUBgNVBAoTDUVudHJ1c3QsIEluYy4xKDAmBgNVBAsTH1NlZSB3
   * d3cuZW50cnVzdC5uZXQvbGVnYWwtdGVybXMxOTA3BgNVBAsTMChjKSAyMDEyIEVu
   * dHJ1c3QsIEluYy4gLSBmb3IgYXV0aG9yaXplZCB1c2Ugb25seTEzMDEGA1UEAxMq
   * RW50cnVzdCBSb290IENlcnRpZmljYXRpb24gQXV0aG9yaXR5IC0gRUMxMB4XDTEy
   * MTIxODE1MjUzNloXDTM3MTIxODE1NTUzNlowgb8xCzAJBgNVBAYTAlVTMRYwFAYD
   * VQQKEw1FbnRydXN0LCBJbmMuMSgwJgYDVQQLEx9TZWUgd3d3LmVudHJ1c3QubmV0
   * L2xlZ2FsLXRlcm1zMTkwNwYDVQQLEzAoYykgMjAxMiBFbnRydXN0LCBJbmMuIC0g
   * Zm9yIGF1dGhvcml6ZWQgdXNlIG9ubHkxMzAxBgNVBAMTKkVudHJ1c3QgUm9vdCBD
   * ZXJ0aWZpY2F0aW9uIEF1dGhvcml0eSAtIEVDMTB2MBAGByqGSM49AgEGBSuBBAAi
   * A2IABIQTydC6bUF74mzQ61VfZgIaJPRbiWlH47jCffHyAsWfoPZb1YsGGYZPUxBt
   * ByQnoaD41UcZYUx9ypMn6nQM72+WCf5j7HBdNq1nd67JnXxVRDqiY1Ef9eNi1KlH
   * Bz7MIKNCMEAwDgYDVR0PAQH/BAQDAgEGMA8GA1UdEwEB/wQFMAMBAf8wHQYDVR0O
   * BBYEFLdj5xrdjekIplWDpOBqUEFlEUJJMAoGCCqGSM49BAMDA2cAMGQCMGF52OVC
   * R98crlOZF7ZvHH3hvxGU0QOIdeSNiaSKd0bebWHvAvX7td/M/k7//qnmpwIwW5nX
   * hTcGtXsI/esni0qU+eH6p44mCOh8kmhtc9hvJqwhAriZtyZBWyVgrtBIGu4G
   * -----END CERTIFICATE-----
   */


  /*
   * Issuer: CN=AffirmTrust Commercial O=AffirmTrust
   * Subject: CN=AffirmTrust Commercial O=AffirmTrust
   * Label: "AffirmTrust Commercial"
   * Serial: 8608355977964138876
   * MD5 Fingerprint: 82:92:ba:5b:ef:cd:8a:6f:a6:3d:55:f9:84:f6:d6:b7
   * SHA1 Fingerprint: f9:b5:b6:32:45:5f:9c:be:ec:57:5f:80:dc:e9:6e:2c:c7:b2:78:b7
   * SHA256 Fingerprint: 03:76:ab:1d:54:c5:f9:80:3c:e4:b2:e2:01:a0:ee:7e:ef:7b:57:b6:36:e8:a9:3c:9b:8d:48:60:c9:6f:5f:a7
   * -----BEGIN CERTIFICATE-----
   * MIIDTDCCAjSgAwIBAgIId3cGJyapsXwwDQYJKoZIhvcNAQELBQAwRDELMAkGA1UE
   * BhMCVVMxFDASBgNVBAoMC0FmZmlybVRydXN0MR8wHQYDVQQDDBZBZmZpcm1UcnVz
   * dCBDb21tZXJjaWFsMB4XDTEwMDEyOTE0MDYwNloXDTMwMTIzMTE0MDYwNlowRDEL
   * MAkGA1UEBhMCVVMxFDASBgNVBAoMC0FmZmlybVRydXN0MR8wHQYDVQQDDBZBZmZp
   * cm1UcnVzdCBDb21tZXJjaWFsMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
   * AQEA9htPZwcroRX1BiLLHwGy43NFBkRJLLtJJRTWzsO3qyxPxkEylFf6EqdbDuKP
   * Hx6GGaeqtS25Xw2Kwq+FNXkyLbscYjfysVtKPcrNcV/pQr6U6Mje+SJIZMblq8Yr
   * ba0F8PrVC8+a5fBQpIs7R6UjW3p6+DM/uO+Zl+MgwdYoic+U+7lF7eNAFxHUdPAL
   * MeIrJmqbTFeurCA+ukV6BfO9m2kVrn1OIGPENXY6BwLJN/3HR+7o8XYdcxXyl6S1
   * yHp52UKqK39c/s4mT6NmgTWvRLpUHhwwMmWd5jyTXlBOeuM61G7MGvv50jeuJCqr
   * VwMiKA1JdX+3KNp1v47j3A55MQIDAQABo0IwQDAdBgNVHQ4EFgQUnZPGU4teyq8/
   * nx4P5ZmVvCT2lI8wDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAQYwDQYJ
   * KoZIhvcNAQELBQADggEBAFis9AQOzcAN/wr91LoWXym9e2iZWEnStB03TX8nfUYG
   * XUPGhi4+c7ImfU+TqbbEKpqrIZcUsd6M06uJFdhrJNTxFq7YpFzUf1GO7RgBsZNj
   * vbz4YYCanrHOQnDiqX0GJX0nof5v7LMeJNrjS1UaADs1tDvZ110w/YETifLCBivt
   * Z8SOyUOyXGsViQK8YvxO8rUzqrJv0wqiUOP2O+guRMLbZjipM1ZI8W0bM40NjD9g
   * N53Tym1+NH4Nn3J2ixufcv1SNUFFApYvHLKac0khsUlHRUe072o0EclNmsxZt9YC
   * nlpOZbWUrhvfKbAW8b8Angc6F2S1BLUjIZkKlTuXfO8=
   * -----END CERTIFICATE-----
   */


  /*
   * Issuer: CN=Autoridad de Certificacion Firmaprofesional CIF A62634068
   * Subject: CN=Autoridad de Certificacion Firmaprofesional CIF A62634068
   * Label: "Autoridad de Certificacion Firmaprofesional CIF A62634068"
   * Serial: 6047274297262753887
   * MD5 Fingerprint: 73:3a:74:7a:ec:bb:a3:96:a6:c2:e4:e2:c8:9b:c0:c3
   * SHA1 Fingerprint: ae:c5:fb:3f:c8:e1:bf:c4:e5:4f:03:07:5a:9a:e8:00:b7:f7:b6:fa
   * SHA256 Fingerprint: 04:04:80:28:bf:1f:28:64:d4:8f:9a:d4:d8:32:94:36:6a:82:88:56:55:3f:3b:14:30:3f:90:14:7f:5d:40:ef
   * -----BEGIN CERTIFICATE-----
   * MIIGFDCCA/ygAwIBAgIIU+w77vuySF8wDQYJKoZIhvcNAQEFBQAwUTELMAkGA1UE
   * BhMCRVMxQjBABgNVBAMMOUF1dG9yaWRhZCBkZSBDZXJ0aWZpY2FjaW9uIEZpcm1h
   * cHJvZmVzaW9uYWwgQ0lGIEE2MjYzNDA2ODAeFw0wOTA1MjAwODM4MTVaFw0zMDEy
   * MzEwODM4MTVaMFExCzAJBgNVBAYTAkVTMUIwQAYDVQQDDDlBdXRvcmlkYWQgZGUg
   * Q2VydGlmaWNhY2lvbiBGaXJtYXByb2Zlc2lvbmFsIENJRiBBNjI2MzQwNjgwggIi
   * MA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQDKlmuO6vj78aI14H9M2uDDUtd9
   * thDIAl6zQyrET2qyyhxdKJp4ERppWVevtSBC5IsP5t9bpgOSL/UR5GLXMnE42QQM
   * cas9UX4PB99jBVzpv5RvwSmCwLTaUbDBPLutN0pcyvFLNg4kq7/DhHf9qFD0sefG
   * L9ItWY16Ck6WaVICqjaY7Pz6FIMMNx/Jkjd/14Et5cS54D40/mf0PmbR0/RAz15i
   * NA9wBj4gGFrO93IbJWyTdBSTo3OxDqqHECNZXyAFGUftaI6SEspd/NYrspI8IM/h
   * X68gvqB2f3bl7BqGYTM+53u0P6APjqK5am+5hyZvQWyIplD9amML9ZMWGxmPsu2b
   * m8mQ9QEM3xk9Dz44I8kvjwzRAv4bVdZO0I08r0+k8/6vKtMFnXkIoctXMbScyJCy
   * Z/QYFpM6/EfY0XiWMR+6KwxfXZmtY4laJCB22N/9q06mIqqdXuYnin1oKaPnirja
   * EbsXLZmdEyRG98Xi2J+Of8ePdG1asuhy9azuJBCtLxTa/y2aRnFHvkLfuwHb9H/T
   * KI8xWVvTyQKmtFLKbpf7Q8UIJm+K9Lv9nyiqDdVF8xM6HdjAeI9BZzwelGSuewvF
   * 6NkBiDkal4ZkQdU7hwxu+g/GvUgUvzlN1J5Bto+WHWOWk9mVBngxaJ43BjuAiUVh
   * OSPHG0SjFeUc+JIwuwIDAQABo4HvMIHsMBIGA1UdEwEB/wQIMAYBAf8CAQEwDgYD
   * VR0PAQH/BAQDAgEGMB0GA1UdDgQWBBRlzeurNR4APn7VdMActHNHDhpkLzCBpgYD
   * VR0gBIGeMIGbMIGYBgRVHSAAMIGPMC8GCCsGAQUFBwIBFiNodHRwOi8vd3d3LmZp
   * cm1hcHJvZmVzaW9uYWwuY29tL2NwczBcBggrBgEFBQcCAjBQHk4AUABhAHMAZQBv
   * ACAAZABlACAAbABhACAAQgBvAG4AYQBuAG8AdgBhACAANAA3ACAAQgBhAHIAYwBl
   * AGwAbwBuAGEAIAAwADgAMAAxADcwDQYJKoZIhvcNAQEFBQADggIBABd9oPm03cXF
   * 661LJLWhAqvdpYhKsg9VSytXjDvlMd3+xDLx51tkljYyGOylMnfX40S2wBEqgLk9
   * am58m9Ot/MPWo+ZkKXzR4Tgegiv/J2Wv+xYVxC5xhOW1//qkR71kMrv2JYSiJ0L1
   * ILDCExARzRAVukKQKtJE4ZYm6zFIEv0q2skGz3QeqUvVhyj5eTSSPi5E6PaPT481
   * PyWzOdxjKpBrIF/EUhJOlywqrJ2X3kjyo2bbwtKDlaZmp54lD+kLM5FlClrD2VQS
   * 3a/DTg4fJl4N3LON7NWBcN7STyQF82xO9UxJZo3R/9ILJUFI/lGExkKvgATP0H5k
   * SeTy36LssUzAKh3ntLFlosS88Zj0qnAHY7S42jtM+kAiMFsRpvAFDsYCA0irhpuF
   * 3dvd6qJ2gHN99ZwExEWN57kci57q13XRcrHedUTnQn3iV2t93Jm8PYMo6oCTjcVM
   * ZcFwgbg4/EMxsvYDNEeyrPsiBsse3RdHHF9mudMaotoRsaS8I8nkvof/uZS2+F0g
   * StRf571oe2XyFR7SOqkt6dhrJKyXWERHrVkY8SFlcN7ONGCoQPHzPKTDKCOM/icz
   * Q0CgFzzr6juwcqajuUpLXhZI9LK8yIySxZ2frHI2vDSANGupi5LAuBft7HZT9SQB
   * jLMi6Et8Vcad+qMUu2WFbm5PEn4KPJ2V
   * -----END CERTIFICATE-----
   */


(The rest of the certificates are omitted for brevity)

   */

    オリジン証明書の検証を有効にする

    1. ESA コンソールで、[ウェブサイト] を選択し、管理するウェブサイトの名前をクリックします。

    2. 左側のナビゲーションウィンドウで、[SSL/TLS] > [オリジン証明書] を選択します。

    3. [オリジン証明書の検証を強制する] セクションで、[オリジン証明書の検証を強制する] を有効にします。

      image

    認証されたオリジン取得

    相互トランスポート層セキュリティ(mTLS)は、TLS プロトコルの拡張機能です。 mTLS では、クライアントとサーバーが相互に認証する必要があります。

    ESA はオリジンサーバーからフェッチする際に、サーバーの証明書を受信して検証します。mTLS が有効な場合、ESA もオリジンサーバーに証明書を送信し、オリジンは ESA の ID を検証します。

    認証されたオリジン取得(mTLS)を有効にして、中間者攻撃を防ぎ、オリジンサーバーへの不正なトラフィックを減らします。

    認証されたオリジン取得

    1. ESA コンソールで、[ウェブサイト] を選択し、管理するウェブサイトの名前をクリックします。

    2. 左側のナビゲーションウィンドウで、[SSL/TLS] > [オリジン証明書] を選択します。

    3. [認証されたオリジン取得] セクションで、[認証されたオリジン取得] を有効にします。

      image

    オリジンサーバーを設定する

    認証済みオリジンプル機能が有効な場合、デフォルトで ESA 証明書が使用されます。以下のルート証明書をダウンロードしてオリジンサーバーにデプロイし、オリジンが ESA の ID を検証できるようにします。

    -----BEGIN CERTIFICATE-----
MIIDyjCCArKgAwIBAgIUOR8lIvy8lGN/SNdnhiJbQ9TjGYAwDQYJKoZIhvcNAQEL
BQAwfTELMAkGA1UEBhMCQ04xETAPBgNVBAgTCFpoZWppYW5nMREwDwYDVQQHEwhI
YW5nWmhvdTEWMBQGA1UEChMNQWxpYmFiYSBDbG91ZDEwMC4GA1UECxMnQWxpYmFi
YSBDbG91ZCBTU0wgQ2VydGlmaWNhdGUgQXV0aG9yaXR5MB4XDTI1MDExMzA3NDcw
MFoXDTM1MDExMTA3NDcwMFowfTELMAkGA1UEBhMCQ04xETAPBgNVBAgTCFpoZWppYW5nMREwDwYDVQQHEwhIYW5nWmhvdTEWMBQGA1UEChMNQWxpYmFiYSBDbG91ZDEw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-----END CERTIFICATE-----

    オリジンフェッチでサポートされている SSL 暗号スイート

    TLS1.2

    • ECDHE-ECDSA-AES128-GCM-SHA256

    • ECDHE-RSA-AES128-GCM-SHA256

    • ECDHE-ECDSA-AES256-GCM-SHA384

    • ECDHE-RSA-AES256-GCM-SHA384

    TLS1.3

    • AEAD-AES128-GCM-SHA256

    • AEAD-AES256-GCM-SHA384

    • AEAD-CHACHA20-POLY1305-SHA256

    可用性

    オリジン証明書

    エントリ

    プロ

    プレミアム

    エンタープライズ

    オリジンプロトコルとポート

    サポートされていません

    サポートされています

    サポートされています

    サポートされています