HTTPS 証明書の設定、SSL 証明書の設定、HTTPS 証明書の更新、HTTPS アクセラレーション、HTTPS の設定 - Edge Security Acceleration

Edge Security Acceleration (ESA) は HTTPS セキュアアクセラレーションをサポートしています。SSL/TLS 証明書を ESA プラットフォームにデプロイし、SSL/TLS 機能を有効化することで、クライアントと ESA のポイント・オブ・プレゼンス（POP）間のトラフィックを暗号化できます。

証明書の設定

証明書の種類

ESA では柔軟な設定オプションを提供しており、無料証明書およびカスタム証明書の両方をサポートしています。無料証明書は、Let's Encrypt などの信頼された認証局（CA）からシステムが自動的に発行および更新します。HTTPS 暗号化を迅速に有効化するのに最適です。カスタム証明書では、GlobalSign などから取得した自社の企業向け証明書をアップロードでき、ブランド固有の SSL 表示要件やコンプライアンス要件を満たすことができます。カスタム証明書の更新は手動で管理する必要があります。

単一の完全一致ドメイン名を使用する中小企業（SME）向けサイトまたは個人ブログをお持ちの場合、無料証明書の申請をご推奨します。
より信頼性の高い認証局から発行された証明書を使用したい場合、または既にドメイン証明書をお持ちの場合には、カスタム証明書のアップロードをご推奨します。

証明書の種類	Let's Encrypt 無料証明書	Digicert 無料証明書	カスタム証明書
更新方法	自動	自動	手動
証明書の種類	DV	DV	DV、OV、EV
証明書のアルゴリズム	RSA	RSA	RSA、ECC
ドメインの種類	完全一致ドメイン名、ワイルドカードドメイン名	単一の完全一致ドメイン名	単一の完全一致ドメイン名、ワイルドカードドメイン名

説明

同一サイトに対して、無料証明書とカスタム証明書を同時に設定できます。設定済みのすべての証明書は証明書プールを構成します。POP がクライアントからのリクエストを受信すると、プールから最適な証明書を自動的に選択し、クライアントに返却します。

無料証明書の申請

無料証明書機能は、証明書の発行および管理を簡便に行うための機能です。ドメイン名を入力するだけで、証明書の申請、ドメイン所有権検証（DCV）、更新、HTTPS 暗号化へのデプロイを自動的に完了できます。

説明

無料証明書はダウンロードできません。
証明書の申請プロセス中、ESA が自動的にドメイン所有権検証（DCV）を実行します。手動での確認は不要です。詳細については、「無料証明書の自動ドメイン所有権検証」をご参照ください。
ESA は、証明書の有効期限切れの 30 日前に無料証明書を自動的に更新します。更新に失敗した場合は、ショートメッセージおよび電子メールで通知されます。この場合、サービス中断を回避するために、カスタム証明書の手動アップロードを実施してください。

ESA コンソールで、サイト管理を選択します。サイト 列から対象のサイトをクリックします。
左側のナビゲーションウィンドウで、SSL/TLS > エッジ証明書 を選択します。
[証明書の管理] エリアで、[無料証明書の申請] をクリックします。 [認証局] を選択し、[ドメイン名] を入力します。
- Let's Encrypt (No SLA)：各無料証明書には最大 50 個のドメイン名を含めることができます。単一のドメイン名およびワイルドカードドメイン名を入力できます。ワイルドカードドメイン名は * で始める必要があります。入力するドメイン名は、対象サイトと一致している必要があります。example.com の証明書はこのドメインのみをカバーし、www.example.com などのサブドメインは含まれません。サブドメイン（例：www.example.com）をカバーするには、ワイルドカードドメイン名証明書（*.example.com）を別途申請するか、サブドメインを個別のエントリとして追加する必要があります。
- DigiCert：DigiCert シングルドメイン証明書の場合、1 つのサイトドメイン名のみを選択します。example.com の証明書を申請すると、発行される証明書には example.com と www.example.com の両方が含まれます。
OK をクリックし、無料証明書の発行を待ちます。証明書の発行が成功すると、ステータス 列に正常と表示されます。

カスタム証明書のアップロード

Alibaba Cloud Certificate Management Service または第三者のサービスプロバイダーから証明書を取得した後、その証明書を ESA にデプロイできます。

説明

証明書の購入については、SSL 証明書コンソールで高度な証明書を購入できます。
第三者のサービスプロバイダーから発行された証明書を使用する場合、証明書のフォーマット要件を満たしている必要があります。詳細については、「証明書のフォーマット要件」をご参照ください。
証明書の内容は閲覧可能ですが、秘密鍵は機密情報であるため閲覧できません。証明書情報を安全に管理してください。

ESA コンソールで、サイト管理を選択します。サイト 列から対象のサイトをクリックします。
左側のナビゲーションウィンドウで、SSL/TLS > エッジ証明書 を選択します。

証明書の管理 エリアで、カスタム証明書のアップロード をクリックします。

Alibaba Cloud Certificate Management Service から証明書を購入した場合、ソース を Certificate Management Service を使用して購入した証明書 に設定し、証明書名 のドロップダウンリストから証明書を選択します。

説明
購入した証明書が選択できない場合は、証明書にバインドされているドメイン名と高速化ドメイン名が一致しているかご確認ください。

第三者のサービスプロバイダーから発行された証明書を使用する場合、ソース を カスタム証明書 に設定します。その後、証明書名 を指定し、証明書 (公開鍵) および 秘密鍵 をアップロードします。この証明書は Alibaba Cloud Certificate Management Service に保存されます。「SSL 証明書管理」で確認できます。

パラメーター	説明
証明書名	アップロードする証明書の名前を設定します。英字、ピリオド、数字、アンダースコア（`_`）、ハイフン（`-`）が使用可能です。説明証明書名は既存の証明書名と重複してはなりません。「SSL 証明書管理」で既存の証明書を確認できます。システムから証明書が重複していると警告された場合は、証明書名を変更して再アップロードしてください。
Certificate (Public Key)	証明書ファイルの PEM エンコード形式の内容を入力します。テキストエディターで PEM 形式の証明書ファイルを開き、その内容をコピーしてテキストボックスに貼り付けてください。
Private Key	証明書の秘密鍵ファイルの PEM エンコード形式の内容を入力します。テキストエディターで PEM 形式の秘密鍵ファイルを開き、その内容をコピーしてテキストボックスに貼り付けてください。

OK をクリックして、証明書のアップロードを完了します。

SSL/TLS の有効化

SSL/TLS 証明書をデプロイした後、SSL/TLS 機能を有効化する必要があります。これにより、クライアントは HTTPS プロトコルを使用してエッジ POP との間で暗号化された通信を確立できます。システムは HTTP プレーンテキストリクエストを自動的にブロックし、HTTPS にリダイレクトします。これにより、エンドツーエンドの暗号化および改ざん防止によるデータ伝送が保証され、セキュリティコンプライアンス要件を満たすとともに、サイトの信頼性を高めることができます。

ESA コンソールで、サイト管理を選択します。サイト 列から対象のサイトをクリックします。
左側のナビゲーションウィンドウで、SSL/TLS > エッジ証明書 を選択します。
SSL / TLS の有効化 スイッチをオンにします。

説明
この設定は、サイト上のすべてのドメイン名に適用されます。特定のドメイン名のみに SSL/TLS 暗号化機能を有効化したい場合は、そのドメイン名向けのルールを追加できます。詳細については、「SSL/TLS ルール」をご参照ください。

HTTPS 設定の確認

証明書の設定および SSL/TLS の有効化が完了したら、ブラウザから HTTPS を使用してリソースにアクセスできます。ブラウザの URL の横に鍵アイコンが表示された場合、HTTPS セキュアアクセラレーションが有効になっていることを示します。

p3701

カスタム証明書の更新

ESA はカスタム証明書を自動的に更新しません。証明書の有効期限切れによる HTTPS サービス中断を防ぐため、有効期限が切れる前にコンソールにログインして証明書を更新または再構成する必要があります。証明書の有効期限が切れる 30 日前に、電子メールでリマインダーが送信されます。業務継続性を確保するため、更新作業を完了するのに十分な時間を確保してください。

既存証明書の更新

ESA コンソールで、サイト管理を選択します。サイト 列から対象のサイトをクリックします。
左側のナビゲーションウィンドウで、SSL/TLS > エッジ証明書 を選択します。
証明書の管理 エリアで、更新する証明書を選択し、[操作] 列の変更をクリックします。
必要に応じて証明書の内容を変更し、OK をクリックします。

新規証明書の設定

ESA コンソールで、サイト管理を選択します。サイト 列から対象のサイトをクリックします。
左側のナビゲーションウィンドウで、SSL/TLS > エッジ証明書 を選択します。
証明書の管理 セクションで、カスタム証明書のアップロード をクリックします。ソース に応じて、必要な情報を入力し、OK をクリックします。
新しい証明書のアップロードが完了したら、有効期限が近づいている証明書の [操作] 列で削除をクリックし、プロンプトに従って証明書を削除します。

サイト全体の機能とルール機能の対応関係

サイト全体の機能として追加された設定は、サイトに対するすべてのリクエストに適用されます。特定のリクエストのみに機能を有効化したい場合は、ルール機能を使用できます。ルール条件は、ユーザーのリクエスト内の特定のパラメーターを識別します。これにより、ルール設定が適用されるリクエストをより正確に制御できます。

サイト全体の機能	対応するルール機能
SSL/TLS の有効化	SSL/TLS 暗号化
HTTPS 強制	HTTPS の強制
TLS 暗号スイートおよびプロトコルバージョンの設定	TLS 暗号スイートおよびプロトコルバージョンの設定
OCSP スタプリング	OCSP スタプリング
機会的暗号化	機会的暗号化
HSTS	HSTS

参考資料

無料証明書の自動ドメイン所有権検証

ドメインの所有権を検証するために、認証局（CA）は以下のいずれかの方法で検証を完了することを申請者に求めます：

DNS 検証（NS レコードを使用して接続されたサイトの場合）：無料証明書を申請すると、ESA がドメイン所有権検証用の TXT レコードを自動的に追加します。
HTTP 検証（CNAME レコードを使用して接続されたサイトの場合）：無料証明書を申請すると、指定されたドメイン名の Web サーバー上に特定のファイルを配置することでドメイン所有権が検証されます。

追加および有効化済みのサイトに対して無料証明書を申請すると、ESA がサイトの DCV をホストします。

証明書の選択優先順位

単一のサイトでは、無料証明書およびカスタム証明書の両方をサポートできます。設定済みのすべての証明書は証明書プールを構成します。POP がクライアントからのリクエストを受信すると、証明書プールから最適な証明書を自動的に選択し、クライアントに返却します。証明書の選択優先順位は以下のとおりです：

アクティブな状態の証明書が優先されます。たとえば、有効期間内であり、サーバ名表示（SNI）と一致する証明書です。
設定日時が新しい証明書が、設定日時が古い証明書よりも優先されます。

各種プランでのサポート状況

証明書の種類	Entrance	Entrance	Premium	Enterprise
Let's Encrypt 無料証明書	10 項目	50 枚	70 枚	100 枚
Digicert 無料証明書	非対応	10	20	50 枚
カスタム証明書	5	10	20 件	50

よくある質問

Digicert 無料証明書の特徴は何ですか？

ドメイン名の制限：1 つの証明書には 1 つのドメイン名のみを含めることができ、ワイルドカードドメイン名はサポートされていません。
SAN の設定：証明書が発行されると、申請したドメイン名とその www サブドメインの 2 つのサブジェクト代替名称（SAN）が含まれます。たとえば、example.com の証明書を申請した場合、発行される証明書には example.com と www.example.com の両方が含まれます。
www ドメイン名の処理：証明書名に www. で始まるものを入力した場合、ESA は www. プレフィックスを自動的に無視します。
DCV 検証：TXT レコード検証に使用されるドメイン名は _dnsauth.{{certificate name}} です。DCV ホスティングには、このドメイン名の CNAME レコードを設定する必要があります。
有効期間：証明書の有効期間は 3 ヶ月で、自動更新をサポートしています。
証明書の種類：SHA256-RSA 暗号化アルゴリズムを使用するドメイン検証（DV）証明書です。