このトピックでは、Edge Security Acceleration (ESA) でサポートされている証明書の種類と、それらの構成方法について説明します。
エッジ証明書
ESA でエッジ証明書を構成し、SSL/TLS 機能を有効にしてクライアントと配信拠点 (POP) 間の通信を暗号化することで、データ転送のセキュリティと整合性を確保できます。デフォルトでは、SSL/TLS 機能は有効になっています。無料の証明書をリクエストするか、カスタム証明書をアップロードすることで、Web サイトのエッジ証明書を構成できます。
アクセス速度とセキュリティパフォーマンスをさらに向上させるために、ESA は次の機能を提供します。
HTTPS への強制リダイレクト: クライアントから HTTP リクエストを受信すると、ESA は 301 リダイレクトを使用してリクエストを HTTPS にリダイレクトします。
TLS 暗号スイートとバージョン: クライアントが ESA POP に HTTPS リクエストを開始すると、POP はリクエストに応答し、Transport Layer Security (TLS) ハンドシェイクをトリガーします。その後、クライアントと POP は互換性のある暗号スイートとバージョンをネゴシエートします。これにより、安全な双方向データ転送が保証されます。
OCSP ステープリング: ESA は証明書の検証結果をキャッシュし、認証局 (CA) から証明書のステータスを照会することなく、クライアントに結果を送信します。これにより、証明書の検証時間が短縮され、アクセス速度が向上します。
オポチュニスティック暗号化: ブラウザがこの機能が有効になっている Web サイトにアクセスすると、ESA POP は自動的に
Alt-Svc応答ヘッダーを追加し、Web サイトが通常ポート 443 で TLS 経由の HTTP/2 などの安全な接続を介して利用可能であることをブラウザに通知します。HSTS: Web セキュリティポリシーメカニズムであり、Web サイトが安全な接続 (HTTPS) のみでアクセス可能であることを宣言できます。
手順
ESA コンソールで、[Web サイト] を選択し、管理する Web サイト名をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[エッジ証明書] ページで、エッジ証明書と、[HTTPS への強制リダイレクト] や [TLS 暗号スイートとバージョン] などのその他の設定を構成します。
クライアント証明書
クライアント証明書は、ネットワーク通信中にクライアントの ID を検証するために使用されます。クライアントが認証を必要とするサーバーに接続しようとすると、クライアント証明書を提示することで ID を証明できます。ESA 管理の CA を使用して クライアント証明書を直接作成するか、API を呼び出すことによって カスタムクライアント証明書を構成できます。
また、クライアント証明書を特定のドメイン名にバインドし、mTLS を有効にすることもできます。 mTLS が有効になると、クライアント証明書の有効性のみが検証されます。 認証に失敗したリクエストに対してブロックページを返すには、mTLS ルールを作成します。
手順
ESA コンソールで、[Web サイト] を選択し、管理する Web サイト名をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[クライアント証明書] ページで、証明書とドメインの情報を構成します。
オリジン証明書
次の機能を構成できます。
オリジンプロトコルとポート: ESA がオリジンからコンテンツをプルするために使用するプロトコルと対応するオリジンポートを構成します。
オリジン証明書の検証を強制する: オリジン証明書の検証を強制して、その有効性を確保します。
認証されたオリジンからのプル: オリジンに対して mTLS が有効になっている場合に、オリジンへのリクエストが ESA からのものであることを確認するために ESA の ID を検証します。
手順
ESA コンソールで、[Web サイト] を選択し、管理する Web サイト名をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[オリジン証明書] ページで、必要に応じて [back-to-origin プロトコルとポート]、[オリジン証明書の強制認証]、および [back-to-origin 双方向認証 (mTLS)] を構成します。