OSS は、デフォルトで HTTPS をサポートするドメイン名を提供します。OSS にカスタムドメイン名を使用してアクセスする場合、そのドメイン名に対して SSL 証明書を構成し、HTTPS 暗号化通信を有効化してください。これにより、データの保護が強化され、コンプライアンス要件への適合も支援されます。
仕組み
HTTPS は TLS/SSL プロトコルを使用してデータをエンドツーエンドで暗号化し、証明書チェーンを使用してサーバーの ID を検証します。これにより、データ送信中の機密性、完全性、および認証が保証されます。OSS で HTTPS を有効化するには、ドメイン名に対応する有効な SSL 証明書を正しい場所に構成する必要があります。構成方法は、ドメインの種類によって異なります:
バケットドメイン名:形式は
<bucket-name>.oss-<region-id>.aliyuncs.comです。Alibaba Cloud がこれらのドメインの SSL 証明書を管理しており、ネイティブで HTTPS をサポートします。追加の構成は不要です。https://プレフィックスを使用してアクセスしてください。カスタムドメイン名:ドメイン名に対して SSL 証明書を構成する必要があります。
HTTPS アクセスの有効化
証明書の構成場所は、CDN 加速が有効かどうかによって異なります。
CDN が有効でない場合:トラフィックは OSS に直接送信されます。カスタムドメイン名の証明書のホスティングを OSS コンソールで構成します。
CDN が有効な場合:トラフィックは OSS に到達する前に CDN のポイント・オブ・プレゼンス(POP)を経由します。CDN 加速対象のドメイン名の HTTPS 証明書を CDN コンソールで構成します。
以下のいずれかの方法で、ご利用のカスタムドメイン名に対して CDN 加速が有効かどうかを確認できます:
OSS コンソール
バケット ページに移動し、対象のバケットをクリックします。
左側のナビゲーションウィンドウで、 をクリックします。
ドメイン一覧には、そのバケットにマップされているすべてのドメインが表示されます。「Alibaba Cloud CDN」のステータスが「設定済み」になっている場合は、HTTPS 証明書の管理を CDN コンソールで行います。
CDN コンソール
CDN ドメイン名一覧 ページに移動し、構成済みかつアクティブな CDN 加速対象のドメイン名とそのオリジンバケット情報を確認します。
手順 1:SSL 証明書の構成
カスタムドメイン名のトラフィック経路に応じて、構成方法を選択してください。
OSS カスタムドメイン名
この方法は、カスタムドメイン名が CNAME を使用して OSS バケットドメイン名に解決される場合に適用されます。
開始する前に、カスタムドメイン名を OSS バケットにマップ していることを確認してください。また、SSL 証明書サービスでドメイン名と一致する有効な SSL 証明書を取得しておく必要があります。証明書は、新しい証明書の購入、無料証明書の申請、またはサードパーティ製証明書のアップロード により取得できます。
バケット ページに移動し、対象のバケットをクリックします。左側のナビゲーションウィンドウで、 をクリックします。
対象のカスタムドメイン名の [操作] 列で、証明書をアップロード をクリックします。証明書名 のドロップダウンリストから、証明書を選択します。
アップロード をクリックして、証明書のホスティング構成を完了します。
CDN 加速対象のドメイン名
この方法は、CDN 加速対象のドメイン名が OSS バケットからコンテンツをフェッチする場合に適用されます。
開始する前に、OSS バケットに対する CDN 加速を構成 し、加速対象のドメイン名をエンドポイントとして使用していることを確認してください。また、SSL 証明書サービスでドメイン名と一致する有効な SSL 証明書を取得しておく必要があります。証明書は、新しい証明書の購入、無料証明書の申請、またはサードパーティ製証明書のアップロード により取得できます。次の手順で、サードパーティ製証明書の内容と秘密鍵を直接入力することも可能です。
CDN コンソール に移動し、対象の加速対象ドメイン名をクリックします。HTTPS 設定 をクリックします。HTTPS 証明書 の横にある 変更 をクリックします。
HTTPS セキュアアクセラレーション を選択します。課金に関する注意事項を確認後、確認 をクリックします。
証明書ソース のドロップダウンリストに基づき、SSL 証明書を選択するか、サードパーティ製証明書の情報を入力します。
SSL 証明書サービス: 証明書名 のドロップダウンリストから、証明書を選択します。
カスタム証明書 (証明書 + プライベートキー):証明書名、証明書 (公開鍵)、および秘密鍵 を入力します。
OK をクリックして、HTTPS 証明書の構成を完了します。
対象の証明書が選択できない場合は、SSL 証明書サービスコンソール に移動し、証明書が以下の条件を満たしていることを確認してください:
証明書が発行済みであり、有効期限内であること。
証明書が構成対象のドメイン名に対して有効であること。
手順 2:HTTPS アクセスの確認
構成後に、反映までしばらくお待ちください。CDN の HTTPS 構成は約 1 分かかります。その後、ブラウザで HTTPS アクセスを確認します:
OSS カスタムドメイン名
バケット ページに移動し、対象のバケット名をクリックします。
[操作] 列でファイル名または 詳細 をクリックします。ドメイン名 を カスタムドメイン名 に設定し、ドロップダウンリストからマップ済みのカスタムドメイン名を選択します。その後、オブジェクト URL のコピー をクリックします。
CDN 加速対象のドメイン名
CDN 加速対象のドメイン名を使用してアクセス URL を構築します(例:https://example.com/example.jpg)。ここで、example.com はご利用の CDN 加速対象のドメイン名です。
ブラウザで URL にアクセスし、アドレスバーにロックアイコンが表示されることを確認してください。これは接続が暗号化されていることを示します。
HTTPS アクセスの強制
本番環境では、すべてのクライアントが HTTPS を使用するよう強制することを推奨します。これにより、送信中のデータの盗聴や改ざんを防止できます。ドメインの種類に応じて、構成方法を選択してください。
OSS カスタムドメイン名
バケット ページに移動し、対象のバケットをクリックします。左側のナビゲーションウィンドウで、 をクリックします。構文で追加 を選択し、以下の バケットポリシー を追加して、すべての HTTP リクエストを拒否します。
例の <bucket-name> を実際のバケット名に置き換えてください。既存のポリシーがある場合は、このステートメントを既存のポリシーに追加してください。
{
"Version": "1",
"Statement": [{
"Effect": "Deny",
"Action": ["oss:*"],
"Principal": ["*"],
"Resource": [
"acs:oss:*:*:<bucket-name>",
"acs:oss:*:*:<bucket-name>/*"
],
"Condition": {
"Bool": {
"acs:SecureTransport": ["false"]
}
}
}]
}CDN 加速対象のドメイン名
クライアントが HTTPS を使用するよう強制するには、以下のいずれかの方法を選択してください:
強制リダイレクトの構成:
CDN コンソール に移動し、対象の加速対象ドメイン名をクリックします。HTTPS 設定 をクリックします。
プロトコルリダイレクト の横にある 変更 をクリックし、「HTTP → HTTPS」を選択します。OK をクリックします。
構成後、CDN は 301 リダイレクトを使用して、クライアントからの HTTP リクエストを CDN ノード上で HTTPS リクエストに変換します。詳細については、「プロトコルリダイレクトの構成」をご参照ください。
HSTS の有効化:
証明書のライフサイクル管理
証明書の有効期限の確認
OSS カスタムドメイン名
バケット ページに移動し、対象のバケットをクリックします。左側のナビゲーションウィンドウで、 をクリックします。
対象のドメイン名の 証明書の詳細 をクリックして、有効期限を確認します。
CDN 加速対象のドメイン名
CDN コンソール に移動し、左側のナビゲーションウィンドウで 証明書センター をクリックして、証明書の有効期限を確認します。
証明書の更新
更新手順は、初期構成と同一です。ドメインの種類および更新方法に応じて、適切な手順を選択してください。
コンソール
コマンドラインインターフェイスおよび API
OSS カスタムドメイン名:ossutil を使用して、カスタムドメイン名に証明書をバインドします。詳細については、「put-cname」をご参照ください。
CDN 加速対象のドメイン名:Alibaba Cloud CLI を使用して、加速対象のドメイン名に証明書を設定します。詳細については、「CLI 統合の例」および「加速対象のドメイン名への証明書の設定」をご参照ください。
自動更新
SSL 証明書には固定の有効期間があります。有効期限が切れた証明書はサービス中断を引き起こす可能性があります。証明書の有効期限が切れる 30 日前までに更新してください。
Alibaba Cloud の SSL 証明書:証明書のホスティングを有効化 することで、証明書の自動更新を実現し、手動介入を削減できます。
サードパーティ製証明書:定期的な更新プロセスを確立し、責任者を明確に割り当てることで、タイムリーな更新を確保してください。
HTTPS アクセスの無効化
HTTPS 暗号化アクセスを必要としなくなった場合、以下のように無効化します:
OSS カスタムドメイン名
バケット ページに移動し、対象のバケットをクリックします。左側のナビゲーションウィンドウで、 をクリックします。
対象のドメイン名の 証明書の詳細 の横にある削除アイコンをクリックし、OK をクリックします。
CDN 加速対象のドメイン名
アクセス中断を回避するため、HTTPS を無効化する前に、まずプロトコルリダイレクトの種類をデフォルト設定に戻し、HSTS 機能を無効化してください。
CDN コンソール に移動し、対象の加速対象ドメイン名をクリックします。HTTPS 設定 をクリックします。HTTPS 証明書 の横にある 変更 をクリックします。
HTTPS セキュアアクセラレーション を無効化し、OK をクリックします。
本番環境に適用
パフォーマンス最適化
最新のブラウザおよび CDN は、広く HTTP/2 をサポートしています。HTTP/1.1 と比較して、HTTP/2 は多重化やヘッダー圧縮などの利点があります。CDN の構成においては、HTTP/2 の有効化 および Gzip 圧縮 を有効化して、セキュリティを維持しつつ伝送効率を最適化してください。
リスク緩和
証明書のバックアップメカニズム:主要な証明書の障害や CA の問題に備え、バックアップ用の SSL 証明書を準備してください。重要な業務システムでは、異なる CA から取得した証明書をバックアップとして使用し、主要な証明書が障害を起こした際に迅速に切り替えるようにしてください。
HTTP フォールバックポリシー:深刻かつ解決不能な証明書の問題が発生した場合、標準的な緊急手順に従って一時的に HTTP アクセスを許可してください。モニタリングを強化し、問題を早期に検出し、迅速に修正できるようにしてください。
課金
CDN で HTTPS を有効化すると、静的 HTTPS リクエスト数に応じた課金が発生します。詳細については、「静的 HTTPS リクエスト」をご参照ください。
よくある質問
SSL 証明書を構成した後も、ブラウザに「安全でない」または「証明書エラー」のメッセージが表示されるのはなぜですか?
構成後にセキュリティ警告が継続する場合は、以下の手順でトラブルシューティングを行ってください:
構成場所の確認:アクセス先ドメインに対して CDN 加速が有効になっているか確認してください。有効な場合は、CDN コンソールで HTTPS 証明書を構成してください。OSS コンソールでの証明書のホスティングは適用されません。
ブラウザキャッシュのクリア:ブラウザが古い証明書の状態をキャッシュしている可能性があります。ブラウザキャッシュをクリアして、再度サイトにアクセスしてみてください。
構成の反映待ち:CDN の HTTPS 構成または OSS の証明書ホスティングには、展開に時間がかかる場合があります。
証明書チェーンの整合性の確認:中間 CA が発行した証明書ファイルには複数の証明書が含まれています。アップロード前に、サーバー証明書と中間証明書を連結して完全な証明書チェーンを作成してください。証明機関(CA)は通常、この連結に関する手順を提供しています。関連ドキュメントをよくご確認ください。
HTTPS を使用した OSS へのアクセス時に証明書例外が発生した場合、どのように対処すればよいですか?
証明書例外の種類に応じて、以下の対応方法を選択してください:
証明書が未構成:ブラウザに
NET::ERR_SSL_PROTOCOL_ERRORのエラーが表示されます。これは、証明書が不足しているか、誤った場所に構成されている(例:CDN 加速が有効な状態で OSS コンソールで証明書のホスティングを実施)ことを示唆しています。HTTPS アクセスの有効化 の手順に従って、HTTPS を再構成してください。証明書の有効期限切れ:ブラウザに
NET::ERR_CERT_DATE_INVALIDのエラーが表示されます。証明書の更新 の手順に従って、再構成してください。証明書の不一致:ブラウザに
NET::ERR_CERT_COMMON_NAME_INVALIDのエラーが表示されます。アクセス先ドメインが証明書のドメインリストに含まれていない(例:アクセス先がcdn.example.comであるのに対し、証明書がoss.example.comにバインドされている)場合に該当します。アクセス先ドメインに適した証明書を構成してください。
証明書を選択する際に、ドロップダウンリストに目的の証明書が見つからないのはなぜですか?
証明書とドメイン名の不一致:システムは、現在構成中のドメインと一致する証明書のみをリスト表示します。たとえば、
oss.example.comの証明書を構成する場合、cdn.example.comに発行された証明書は選択できません。証明書が現在のアカウントに属していない:SSL 証明書管理 ページで証明書をアップロードしてください。
ワイルドカード証明書のレベル不一致:ワイルドカード証明書は、同じレベルのサブドメインのみをサポートします。たとえば、
*.example.comはwww.example.comやoss.example.comにはマッチしますが、cdn.oss.example.comにはマッチしません。
CDN で HTTPS 証明書を構成する際に、「証明書のフォーマットが正しくありません」というメッセージが表示されます。フォーマットを変換するにはどうすればよいですか?
CDN の HTTPS 構成では、PEM 形式の証明書のみがサポートされています。証明書が PEM 形式でない場合は、「証明書のフォーマット」をご参照ください。ドキュメント内の手順に従って、アップロード前にフォーマットを変換してください。