エッジ証明書による HTTPS 有効化と高速配信 - Edge Security Acceleration

Edge Security Acceleration (ESA) は、HTTPS セキュアアクセラレーションサービスを提供します。SSL/TLS 証明書を ESA プラットフォームにデプロイし、SSL/TLS 機能を有効化することで、クライアントと ESA エッジノード（POP）間で送信されるリクエストを暗号化できます。

証明書の設定

証明書の種類

ESA では、無料証明書およびカスタム証明書の両方をサポートしています。無料証明書は、Let's Encrypt などの信頼された認証局（CA）によって自動的に発行・更新されるため、HTTPS 暗号化を迅速に有効化するのに最適です。カスタム証明書では、GlobalSign などから発行された自社の企業向け証明書をアップロードでき、ブランド戦略やコンプライアンス要件を満たすことができます。カスタム証明書の有効期限管理および更新は、お客様が責任を持って実施する必要があります。

小規模～中規模の企業サイトまたは単一の完全一致ドメイン名を使用する個人ブログをお持ちの場合、無料証明書の申請をご推奨します。
特定の認証局（CA）発行の証明書が必要な場合、または既に証明書をお持ちの場合は、カスタム証明書のアップロードを行ってください。

種類	Let's Encrypt 無料証明書	DigiCert 無料証明書	カスタム証明書
更新方法	自動	自動	手動
証明書タイプ	DV	DV	DV、OV、EV
証明書アルゴリズム	RSA	RSA	RSA、ECC
ドメインタイプ	完全一致ドメイン名、ワイルドカードドメイン名	単一の完全一致ドメイン名	単一の完全一致ドメイン名、ワイルドカードドメイン名

説明

同一のウェブサイトに対して、無料証明書とカスタム証明書の両方を設定できます。すべての証明書は証明書プールを構成します。エッジノード（POP）がクライアントからのリクエストを受信すると、プールから最適な証明書を自動選択し、クライアントに返します。

無料証明書の申請

無料証明書機能により、証明書の発行および管理が簡素化されます。ドメイン名を入力するだけで、証明書の申請、ドメイン所有権検証（DCV）、更新、デプロイを自動的に完了できます。

説明

無料証明書はダウンロードできません。
申請プロセス中に、ESA が自動的にドメイン所有権検証（DCV）を実行します。手動での検証は不要です。詳細については、「無料証明書の自動ドメイン所有権検証」をご参照ください。
ESA は、無料証明書の有効期限が切れる 30 日前に自動的に更新を試行します。更新に失敗した場合、メールおよび SMS で通知されます。その際は、サービス停止を防ぐため、カスタム証明書のアップロードを行う必要があります。

ESA コンソールで、ウェブサイトを選択します。サイト 列から、対象のウェブサイトをクリックします。
左側のナビゲーションウィンドウで、エッジ証明書 を選択します。
証明書の管理 エリアで、無料証明書の申請 をクリックします。認証局 を選択し、ドメイン名: を入力します。
- Let's Encrypt (No SLA): 各無料証明書には最大50個のドメイン名を含めることができます。単一のドメイン名とワイルドカードドメイン名を入力できます。ワイルドカードドメイン名は * で始める必要があります。ドメイン名はウェブサイトと一致している必要があります。example.com の証明書はそのドメイン名のみをカバーしますが、www.example.com などのサブドメインは含まれません。www.example.com などのサブドメインをカバーするには、ワイルドカードドメイン名証明書（*.example.com）を別途申請する必要があります。または、サブドメインを追加ドメイン名として追加します。
- DigiCert：DigiCert シングルドメイン証明書では、1 つのウェブサイトドメインのみを選択できます。example.com の証明書を申請した場合、発行される証明書には example.com と www.example.com の両方が含まれます。
OK をクリックし、証明書申請の完了を待ちます。証明書が正常に発行されると、ステータス 列のステータスが正常に変更されます。

カスタム証明書のアップロード

Alibaba Cloud Certificate Management Service またはサードパーティのプロバイダーから取得した証明書を ESA にデプロイできます。

説明

高度な証明書を購入するには、SSL 証明書コンソールにアクセスしてください。
サードパーティのプロバイダーから取得した証明書は、所定の形式である必要があります。詳細については、「証明書の形式要件」をご参照ください。
証明書の詳細は表示できますが、機密情報を含む秘密鍵は表示できません。証明書情報を安全に保管してください。

ESA コンソールで、ウェブサイトを選択します。サイト 列から、対象のウェブサイトをクリックします。
左側のナビゲーションウィンドウで、エッジ証明書を選択します。

証明書の管理 エリアで、カスタム証明書のアップロード をクリックします。

Alibaba Cloud Certificate Management Service で証明書を購入した場合は、ソース を Certificate Management Service を使用して購入した証明書 に設定し、証明書名 のドロップダウンリストから証明書を選択します。
説明
リストに証明書が表示されない場合は、証明書にバインドされているドメイン名とウェブサイトのドメイン名が一致しているか確認してください。

サードパーティのプロバイダーから取得した証明書を使用する場合は、ソース を カスタム証明書 に設定します。その後、証明書名 を入力し、証明書 (公開鍵) および 秘密鍵 の内容を貼り付けます。証明書は Certificate Management Service に保存されます。「SSL 証明書管理」で確認できます。

パラメーター	説明
証明書名	アップロードする証明書の名前を入力します。英字、ピリオド、数字、アンダースコア `_`、ハイフン `-` を使用できます。説明証明書名は一意である必要があります。「SSL 証明書管理」で既存の証明書を確認できます。システムから重複名のエラーが報告された場合は、別の名前に変更して再試行してください。
Certificate (Public Key)	PEM エンコード形式の証明書ファイルの内容を貼り付けます。テキストエディターで PEM 形式の証明書ファイルを開き、その内容をこのフィールドにコピー＆ペーストしてください。
Private Key	証明書の秘密鍵の PEM エンコード形式の内容を貼り付けます。テキストエディターで PEM 形式の秘密鍵ファイルを開き、その内容をこのフィールドにコピー＆ペーストしてください。

OK をクリックして証明書をアップロードします。

SSL/TLS の有効化

SSL/TLS 証明書をデプロイした後は、SSL/TLS を有効化する必要があります。これにより、クライアントが HTTPS 経由でエッジノード（POP）と暗号化された接続を確立できるようになります。システムは HTTP リクエストを自動的にキャッチし、HTTPS へリダイレクトすることで、すべてのデータを暗号化・改ざん防止し、セキュリティおよびコンプライアンス要件を満たすとともに、ユーザーのウェブサイトに対する信頼性を高めます。

ESA コンソールで、ウェブサイトを選択します。サイト 列から、対象のウェブサイトをクリックします。
左側のナビゲーションウィンドウで、エッジ証明書 を選択します。
SSL / TLS の有効化 スイッチをオンにします。
説明
この設定は、ウェブサイトに関連付けられたすべてのドメイン名に適用されます。特定のドメイン名のみに SSL/TLS 暗号化を適用する場合は、それらのドメインに対してルールを追加してください。詳細については、「SSL/TLS ルール」をご参照ください。

HTTPS 設定の確認

証明書の設定および SSL/TLS の有効化後は、Web ブラウザーで HTTPS を使用してウェブサイトにアクセスすることで設定を確認できます。URL の横にロックアイコンが表示された場合、HTTPS セキュリティが有効になっています。

p3701

カスタム証明書の更新

ESA はカスタム証明書を自動更新しません。サービス停止を防ぐため、有効期限が切れる前にコンソールでカスタム証明書を更新する必要があります。システムは、有効期限の 30 日前にメールでリマインダー通知を送信します。更新作業を十分な時間内に完了させ、業務継続性を確保してください。

既存証明書の更新

ESA コンソールで、ウェブサイトを選択します。サイト 列から、対象のウェブサイトをクリックします。
左側のナビゲーションウィンドウで、エッジ証明書 を選択します。
証明書の管理 エリアで、更新対象の証明書を見つけ、[操作] 列の変更をクリックします。
必要に応じて証明書の内容を更新し、OK をクリックします。

新規証明書の設定

ESA コンソールで、ウェブサイトを選択します。サイト 列から、対象のウェブサイトをクリックします。
左側のナビゲーションウィンドウで、エッジ証明書 を選択します。
証明書の管理 エリアで、カスタム証明書のアップロード をクリックします。ソース に応じて、必要な情報を入力し、OK をクリックします。
新規証明書のアップロード後、リストから有効期限が近づいている証明書を見つけ、[操作] 列の削除をクリックします。画面上の指示に従って、古い証明書を削除してください。

サイトレベルおよびルールベースの機能

サイトレベルの設定は、ウェブサイトに対するすべてのリクエストに影響します。特定のリクエストのみに機能を適用する場合は、ルールとして設定できます。ルールでは、特定のリクエストパラメーターに一致させる条件を指定することで、設定の適用対象を正確に制御できます。

サイトレベル機能	ルールベース機能
SSL/TLS の有効化	SSL/TLS 暗号化
HTTPS の強制	HTTPS の強制
TLS 暗号スイートおよびプロトコルバージョンの設定	TLS 暗号スイートおよびプロトコルバージョンの設定
OCSP スタプリング	OCSP スタプリング
機会的暗号化	機会的暗号化
HSTS	HSTS

参考文献

無料証明書の自動ドメイン所有権検証

認証局（CA）では、ドメイン所有権を検証するための検証プロセスを申請者が完了する必要があります。ESA では、以下の検証方法をサポートしています。

DNS 検証（NS レコード統合を使用するサイト向け）：無料証明書の申請後、ESA が自動的に DNS 設定に TXT レコードを追加し、ドメイン所有権検証（DCV）を完了します。
HTTP 検証（CNAME を使用して追加されたサイト向け）：無料証明書の申請後、指定されたドメインの Web サーバー上に特定のファイルを配置できることを確認することで、ドメイン所有権を検証します。

ESA でアクティブなウェブサイトに対して無料証明書を申請する場合、ESA はホステッド DCV を使用して、ドメイン検証プロセスを自動的に処理します。

証明書選択の優先度

エッジノード（POP）がクライアントからのリクエストを受信した場合、プールから最適な証明書を選択する際に以下の優先度に基づいて判断します。

クライアントのサーバ名表示（SNI）要求と一致するアクティブな証明書が優先されます。
より最近に設定された証明書が、古い証明書よりも優先されます。

プラン対応状況

タイプ	Entrance	Entrance	Premium	Enterprise
Let's Encrypt 無料証明書	10	50	70	100
DigiCert 無料証明書	非対応	10	20	50
カスタム証明書	5	10	20	50

よくある質問

DigiCert 無料証明書の機能

ドメイン名の制限：1 つの証明書には 1 つのドメイン名のみ含めることができ、ワイルドカードドメイン名はサポートされません。
SAN 設定：証明書は、申請したドメインおよびその www サブドメインの 2 つのサブジェクト代替名（SAN）を含めて発行されます。たとえば、example.com の証明書を申請した場合、証明書には example.com と www.example.com の両方が含まれます。
www ドメイン名の取り扱い：証明書名に www. で始まる文字列を入力した場合、ESA は先頭の www. を自動的に無視します。
DCV 検証：TXT レコードによる検証用のドメイン名は _dnsauth.{{certificate_name}} です。ホステッド DCV の場合は、このドメインに対して CNAME レコードを設定する必要があります。
有効期間：証明書の有効期間は 90 日であり、自動更新をサポートします。
証明書タイプ：SHA-256 と RSA 暗号化アルゴリズムを使用するドメイン検証（DV）証明書です。

その他のよくある質問については、「SSL/TLS よくある質問」をご参照ください。