Edge Security Acceleration (ESA) は、トラフィックを保護するためのエッジ証明書、クライアント証明書、オリジン証明書をサポートしています。セキュリティ要件を満たすように各タイプを設定してください。
エッジ証明書
ESA プラットフォーム上のエッジ証明書は、クライアントとエッジノード間のリクエストを暗号化します。デフォルトでは、ESA では SSL/TLS 機能が有効になっています。エッジ証明書を設定するか、エッジ証明書を設定してください。
ESA は、アクセス速度とセキュリティを向上させるための追加機能を提供します。
-
常時 HTTPS: ESA POP で 301 レスポンスを使用して HTTP リクエストを HTTPS にリダイレクトします。
-
TLS 設定: TLS ハンドシェイク中に、クライアントと ESA POP が暗号スイートとプロトコルバージョンをネゴシエートして、安全な伝送を実現します。
-
OCSP ステープリング: ESA 上で証明書検証結果をキャッシュし、クライアントに提供することで、CA への直接クエリを排除し、TLS ハンドシェイクのレイテンシを削減します。
-
オポチュニスティック暗号化: サポートするブラウザがサイトにアクセスすると、ESA POP が HTTP レスポンスに
Alt-Svcヘッダーを追加し、HTTP/2 over TLS (ポート 443) が利用可能であることを通知します。 -
HSTS: HTTP Strict Transport Security (HSTS) は、ブラウザに対して HTTPS 経由でのみウェブサイトにアクセスするよう指示します。
操作手順
エッジ証明書、常時 HTTPS、および TLS 設定 を設定するには、以下の手順を実行します。
-
ESA コンソールで、[ウェブサイト]を選択します。サイト 列で、対象のウェブサイトをクリックします。
-
左側メニューで、 を選択してください。
-
エッジ証明書 ページで、必要に応じて証明書、TLS 設定、および[常時 HTTPS を使用]を設定します。
クライアント証明書
クライアント証明書は、サーバーに接続するクライアントを認証します。ESA 提供の CA を使用して クライアント証明書 を作成するか、OpenAPI 経由で カスタムクライアント証明書 を設定します。
クライアント証明書をドメインにバインドし、相互認証のためにエッジ mTLS を有効化します。ESA はリクエストごとにクライアント証明書を検証します。失敗したリクエストをブロックするには、ESA で mTLS ルールを作成します。
操作手順
クライアント証明書を設定するには、以下の手順を実行します。
-
ESA コンソールで、[ウェブサイト]を選択し、サイト 列で対象のウェブサイトをクリックします。
-
左側メニューで、 を選択してください。
-
クライアント証明書 ページで、証明書およびドメイン情報を設定します。
オリジン証明書
ESA の オリジン証明書 機能を使用すると、オリジンプロトコルとポート、オリジン証明書の検証、および認証済みオリジンプルを設定できます。オリジンプロトコルとポートを設定することで、オリジンリクエストに使用するプロトコルとポートを ESA POP に指定します。オリジン証明書の検証を有効にすると、オリジンサーバーからの証明書が有効であることを確認できます。オリジンサーバーで相互 Transport Layer Security (mTLS) が有効になっており、ESA の ID を検証する必要がある場合は、認証済みオリジンプルを有効にして相互認証を実現します。
操作手順
[オリジンプロトコルとポート]、[オリジン証明書の検証を強制]、および [認証済みオリジンプル] を設定するには、以下の手順を実行します。
-
ESA コンソールで、[ウェブサイト]を選択します。 サイト 列で、目的のウェブサイトをクリックします。
-
左側メニューで、 を選択してください。
-
オリジン証明書ページで、必要に応じてback-to-origin プロトコルとポート、オリジン証明書の強制認証、back-to-origin 双方向認証 (mTLS)を設定します。