ALB の証明書を設定する - Server Load Balancer - Alibaba Cloud ドキュメントセンター

一方向認証または相互認証を設定するには、Alibaba Cloud SSL 証明書サービスから証明書を購入するか、サードパーティからサーバー証明書および認証局 (CA) 証明書をアップロードします。証明書が SSL 証明書サービスで利用可能になったら、Application Load Balancer (ALB) インスタンスに適用できます。

背景情報

ALB は一方向認証と相互認証をサポートしています。要件に基づいて認証方式を選択できます。

一方向認証: クライアントはサーバーを認証しますが、サーバーはクライアントを認証しません。一方向認証を設定するには、サーバー証明書を HTTPS または QUIC リスナーにアタッチします。
相互認証: クライアントとサーバーが相互に認証します。リクエストとレスポンスを処理する前に、両方の当事者が認証される必要があります。これにより、データのセキュリティが確保されます。相互認証を有効にするには、サーバー証明書と CA 証明書をリスナーにアタッチします。CA 証明書はクライアントの認証に使用されます。

制限事項

Basic Edition インスタンスは相互認証をサポートしていません。
QUIC リスナーは相互認証をサポートしていません。
HTTP リスナーは一方向認証または相互認証をサポートしていません。

証明書タイプ

ALB は、国際的に認められているアルゴリズム (RSA/ECC) を使用する証明書をサポートしています。

リスナータイプ	証明書タイプ	証明書認証方式
リスナータイプ	証明書タイプ	一方向認証	相互認証
HTTPS	単一の RSA および ECC 証明書設定	サポート済み	サポート済み
HTTPS	デュアル RSA および ECC 証明書設定	サポート済み	サポート済み
QUIC	単一の RSA および ECC 証明書設定	サポート済み	サポート対象外
QUIC	デュアル RSA および ECC 証明書設定	サポート済み	サポート対象外
HTTP	証明書設定はサポートされていません

前提条件

標準版または WAF 有効版の ALB インスタンスを作成していること。
アクティブなバックエンドサーバーグループを作成していること。
SSL 証明書サービスでサーバー証明書を購入またはアップロードしていること。
SSL 証明書サービスで中間 CA 証明書を購入して有効化しており、プライベート中間 CA で利用可能な証明書の数がゼロではないこと。または、自己署名ルート CA 証明書または自己署名中間 CA 証明書を SSL 証明書サービスにアップロードしていること。

証明書の追加

ALB コンソールにログインします。
上部のメニューバーで、インスタンスが配置されているリージョンを選択します。
[インスタンス] ページで、対象のインスタンスを見つけ、そのインスタンス ID をクリックします。
次のいずれかの方法でリスナー設定ウィザードを開きます。
- インスタンス ページで、対象のインスタンスを見つけ、操作列の [リスナーの作成] をクリックします。
- インスタンス ページで、対象のインスタンスの ID をクリックします。リスナー タブで、[リスナーの作成] をクリックします。

[リスナーの設定] ステップで、必須パラメーターを設定し、[次へ] をクリックします。

このトピックでは、主要なパラメーターのみを説明します。詳細については、「HTTPS リスナーの追加」をご参照ください。

リスナー設定	説明
リスナープロトコルの選択	リスナーのプロトコルを選択します。必要に応じて [HTTPS] または [QUIC] を選択できます。説明 QUIC リスナーは相互認証をサポートしていません。 HTTP リスナーは一方向認証または相互認証をサポートしていません。この例では、[HTTPS] が選択されています。
リスナーポート	リクエストを受信してバックエンドサーバーに転送するために使用されるリスナーポートを入力します。ポート番号は 1～65535 の範囲である必要があります。ポート 80 は HTTP に、ポート 443 は HTTPS に使用されます。この例では、`443` と入力します。
リスナー名	リスナーのカスタム名を入力します。
詳細設定	[変更] をクリックして、詳細設定セクションを展開します。

SSL 証明書の設定 ウィザードで、サーバー証明書を選択します。
サーバー証明書が利用できない場合は、ドロップダウンリストの [SSL 証明書の作成] をクリックして、Certificate Management Service コンソールに移動します。コンソールで、サーバー証明書を購入またはアップロードできます。
オプション: [相互認証を有効化] をオンにし、CA 証明書のソースを選択します。
- [CA 証明書ソース] を [Alibaba Cloud によって発行] に設定し、[デフォルト CA 証明書の選択] ドロップダウンリストから CA 証明書を選択します。
  CA 証明書が利用できない場合は、ドロップダウンリストの [CA 証明書の購入] をクリックして、新しい CA 証明書を作成します。
- [CA 証明書ソース] を [Alibaba Cloud によって発行されていない] に設定し、[デフォルト CA 証明書の選択] ドロップダウンリストから CA 証明書を選択します。
  自己署名 CA 証明書が利用できない場合は、ドロップダウンリストの [自己署名 CA 証明書のアップロード] をクリックします。[証明書アプリケーションリポジトリ] ページで、リポジトリを作成し、そのデータソースを [CA 証明書のアップロード] に設定します。次に、リポジトリから自己署名ルート CA 証明書または自己署名中間 CA 証明書をアップロードします。
説明
- 標準版および WAF 有効版の ALB インスタンスのみが相互認証をサポートします。Basic ALB インスタンスはサポートしていません。
- 相互認証を有効にした後、無効にする必要がある場合は、次の手順を実行します。
  [インスタンス] ページで、対象のインスタンスの ID をクリックします。
  [リスナー] タブで、対象の HTTPS リスナーの ID をクリックします。
  [リスナーの詳細] タブの [SSL 証明書] セクションで、相互認証スイッチをオフにします。
[TLS セキュリティポリシー] を選択し、[次へ] をクリックします。
TLS セキュリティポリシーが利用できない場合は、ドロップダウンリストの [TLS セキュリティポリシーの作成] をクリックします。
TLS セキュリティポリシーには、HTTPS でサポートされる TLS プロトコルバージョンと暗号スイートが含まれています。
[サーバーグループの選択] ウィザードで、サーバーグループを選択し、バックエンドサーバー情報を表示してから、次へをクリックします。
確定ウィザードで、設定を確認し、送信をクリックします。

その他の操作

ALB コンソールにログインします。
上部のメニューバーで、インスタンスが配置されているリージョンを選択します。
[インスタンス] ページで、対象のインスタンスを見つけ、そのインスタンス ID をクリックします。
[リスナー] タブで、対象のリスナーを見つけ、[アクション] 列の [証明書の管理] をクリックします。

[リスナー証明書] タブで、必要な操作を実行します。

説明

サービスの中断を防ぐために、証明書の有効期限が切れる前に証明書を置き換えてください。

証明書カテゴリ	操作	説明
サーバー証明書	リスナーのデフォルトサーバー証明書を置き換える	[サーバー証明書] タブで、リスナーのデフォルトサーバー証明書を見つけ、[アクション] 列の [置換] をクリックします。表示されるダイアログボックスで、サーバー証明書を選択し、[OK] をクリックします。サーバー証明書が利用できない場合は、ドロップダウンリストの [SSL 証明書の作成] をクリックして、Certificate Management Service コンソールに移動します。コンソールで、サーバー証明書を購入またはアップロードできます。
	追加のサーバー証明書を追加する	リスナーに追加の証明書を追加できます。 [サーバー証明書] タブで、[追加証明書の追加] をクリックします。 [追加証明書の追加] ダイアログボックスで、サーバー証明書を選択し、[OK] をクリックします。サーバー証明書が利用できない場合は、右上隅の [証明書の購入] をクリックして証明書センターに移動します。証明書センターで、サーバー証明書を購入またはアップロードします。
	追加のサーバー証明書を削除する	不要になった追加のサーバー証明書を削除できます。証明書が削除されると、リスナーでは使用できなくなります。 [サーバー証明書] タブで、対象の追加証明書を見つけ、[アクション] 列の [削除] をクリックします。表示されるダイアログボックスで、[削除] をクリックします。
CA 証明書	相互認証を有効または無効にする	相互認証の有効化: リスナーに対して相互認証を有効にしていない場合は、有効にできます。 [CA 証明書] タブをクリックし、[相互認証] スイッチをオンにするか、[相互認証を有効化] をクリックします。 [相互認証を有効化] ダイアログボックスで、ビジネスニーズに基づいて次のいずれかの手順を実行します。 [CA 証明書のソース] を [Alibaba Cloud によって発行] に設定し、[デフォルト CA 証明書の選択] ドロップダウンリストから CA 証明書を選択して、[OK] をクリックします。 CA 証明書が利用できない場合は、ドロップダウンリストの [CA 証明書の購入] をクリックして、新しい CA 証明書を作成します。 [CA 証明書のソース] を [Alibaba Cloud によって発行されていない] に設定し、[デフォルト CA 証明書の選択] ドロップダウンリストから CA 証明書を選択して、[OK] をクリックします。自己署名 CA 証明書が利用できない場合は、ドロップダウンリストの [自己署名 CA 証明書のアップロード] をクリックします。[証明書アプリケーションリポジトリ] ページで、リポジトリを作成し、そのデータソースを [CA 証明書のアップロード] に設定します。次に、リポジトリから自己署名ルート CA 証明書または自己署名中間 CA 証明書をアップロードします。相互認証の無効化: リスナーで相互認証が有効になっている場合は、[CA 証明書] タブをクリックして [相互認証] スイッチをオフにできます。無効にすると、リスナーは一方向認証のみをサポートします。
CA 証明書	CA 証明書を置き換える	[CA 証明書] タブをクリックします。リスナーのデフォルト CA 証明書を見つけ、[アクション] 列の [置換] をクリックします。 [デフォルト CA 証明書の置換] ダイアログボックスで、ビジネスニーズに基づいて次のいずれかの手順を実行します。 [CA 証明書のソース] を [Alibaba Cloud によって発行] に設定し、[デフォルト CA 証明書の選択] ドロップダウンリストから CA 証明書を選択して、[OK] をクリックします。 CA 証明書が利用できない場合は、ドロップダウンリストの [CA 証明書の購入] をクリックして、新しい CA 証明書を作成します。 [CA 証明書のソース] を [Alibaba Cloud によって発行されていない] に設定し、[デフォルト CA 証明書の選択] ドロップダウンリストから CA 証明書を選択して、[OK] をクリックします。自己署名 CA 証明書が利用できない場合は、ドロップダウンリストの [自己署名 CA 証明書のアップロード] をクリックします。[証明書アプリケーションリポジトリ] ページで、リポジトリを作成し、そのデータソースを [CA 証明書のアップロード] に設定します。次に、リポジトリから自己署名ルート CA 証明書または自己署名中間 CA 証明書をアップロードします。

チュートリアル

HTTPS 経由のエンドツーエンドデータ転送を設定する: ALB は HTTPS 経由のエンドツーエンドデータ転送を提供します。この機能は、クライアントから ALB へ、および ALB からバックエンドサーバーへのデータを暗号化して、機密性の高いサービスのセキュリティを向上させます。
単一の ALB インスタンスで複数のドメイン名を使用する HTTPS ウェブサイトを設定する: 異なるドメイン名の HTTPS リクエストを異なるバックエンドサーバーに転送するには、複数の証明書を ALB HTTPS リスナーにアタッチし、ドメイン名ベースの転送ルールを設定します。
ALB で相互認証を使用する HTTPS サービスをデプロイする: 金融やヘルスケア業界などの高いセキュリティが求められるシナリオでは、ALB の相互認証機能を使用して、クライアントとサーバー間の相互 ID 検証を実装できます。これにより、安全なデータ転送が保証されます。

API リファレンス

CreateListener: HTTP、HTTPS、または QUIC リスナーを作成します。
AssociateAdditionalCertificatesWithListener: HTTPS または QUIC リスナーに追加の証明書を追加します。
DissociateAdditionalCertificatesFromListener: HTTPS または QUIC リスナーから追加の証明書を削除します。
UpdateListenerAttribute: HTTPS または QUIC リスナーのデフォルトの証明書設定を変更します。たとえば、デフォルトの証明書を置き換えたり、相互認証を有効または無効にしたりできます。

Server Load Balancer:証明書の管理