すべてのプロダクト
Search

このプロダクト

    VPN Gateway:SSL サーバーの作成と管理

    ドキュメントセンター

    VPN Gateway:SSL サーバーの作成と管理

    最終更新日:Apr 02, 2026

    SSL サーバーは、クライアントがアクセスできるネットワークおよびリソースを定義します。SSL-VPN 機能を利用する前に、SSL サーバーを作成する必要があります。

    前提条件

    VPN Gateway インスタンスを作成し、そのインスタンスに対して SSL-VPN 機能を有効化済みである必要があります。詳細については、「VPN Gateway インスタンスの作成と管理」をご参照ください。

    VPN Gateway インスタンスの作成時に SSL-VPN 機能を有効化しなかった場合でも、任意のタイミングで後から有効化できます。詳細については、「SSL-VPN 機能の有効化」をご参照ください。

    SSL サーバーの作成

    1. 以下のいずれかのリンクから VPN Gateway コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、Network Interconnection > VPN > SSL サーバー の順に選択します。

    3. 上部のナビゲーションバーで、SSL サーバーを作成するリージョンを選択します。

      SSL サーバーは、関連付けられた VPN Gateway インスタンスと同じリージョンに配置する必要があります。

    4. SSL サーバー ページで、SSLサーバーの作成 をクリックします。

    5. SSLサーバーの作成 パネルでパラメーターを設定し、OK をクリックします。

      パラメーター

      説明

      名前

      SSL サーバーの名前を入力します。

      リソースグループ

      VPN Gateway インスタンスが属するリソースグループを選択します。

      システムは自動的に、SSL サーバーを VPN Gateway インスタンスと同じリソースグループに追加します。

      VPN Gateway

      SSL サーバーに関連付ける VPN Gateway インスタンスを選択します。

      選択した VPN Gateway インスタンスに対して SSL-VPN 機能が有効化されていることを確認してください。

      ローカルネットワーク

      SSL-VPN 接続経由でクライアントがアクセス可能な宛先 CIDR ブロックです。

      ローカルネットワークには、仮想プライベートクラウド (VPC) の CIDR ブロック、vSwitch の CIDR ブロック、Express Connect 回線を介して VPC に接続されたデータセンター、または Object Storage Service (OSS) や ApsaraDB RDS などのクラウドサービスを指定できます。

      ローカルネットワークセグメントを追加する。 をクリックして、複数の CIDR ブロックを追加できます。最大で 5 つのローカルネットワークを追加可能です。ただし、以下の IP アドレス範囲はローカルネットワークとして使用できません。

      • 127.0.0.0 ~ 127.255.255.255

      • 169.254.0.0 ~ 169.254.255.255

      • 224.0.0.0 ~ 239.255.255.255

      • 255.0.0.0 ~ 255.255.255.255

      説明

      ローカルネットワークのプレフィックス長は 8 ~ 32 ビットである必要があります。

      クライアント CIDR ブロック

      VPN Gateway インスタンスがクライアントの仮想ネットワークインターフェースに割り当てる IP アドレスのアドレスプールです。このプールはクライアントのプライベートネットワークとは独立しています。クライアントが接続すると、VPN Gateway インスタンスはこのプールから IP アドレスを割り当て、クラウドリソースへのアクセスを可能にします。

      クライアント CIDR ブロックには、VPN Gateway インスタンスがサポートする同時 SSL 接続数の最大値の少なくとも 4 倍の IP アドレス数を確保してください。

      • 理由を表示する

        たとえば、クライアント CIDR ブロックとして 192.168.0.0/24 を指定した場合、システムは接続処理用に /30 サブネット(例:192.168.0.4/30)を切り出します。このサブネット内の 1 つの IP アドレスがクライアントに割り当てられ、残りの 3 つはネットワーク通信のためにシステムによって予約されます。つまり、各クライアント接続でプールから 4 つの IP アドレスが消費されます。すべてのクライアントが接続できるようにするには、クライアント CIDR ブロック内の利用可能な IP アドレス総数が、VPN Gateway インスタンスの最大 SSL 接続数の 4 倍以上である必要があります。

      • 使用できない CIDR ブロックを表示する

        • 100.64.0.0 ~ 100.127.255.255

        • 127.0.0.0 ~ 127.255.255.255

        • 169.254.0.0 ~ 169.254.255.255

        • 224.0.0.0 ~ 239.255.255.255

        • 255.0.0.0 ~ 255.255.255.255

      • SSL 接続数に応じた推奨クライアント CIDR ブロックを表示する

        • 5 件の SSL 接続の場合:推奨プレフィックス長は 27 以下(例:10.0.0.0/27 または 10.0.0.0/26

        • 10 件の SSL 接続の場合:推奨プレフィックス長は 26 以下(例:10.0.0.0/26 または 10.0.0.0/25

        • 20 件の SSL 接続の場合:推奨プレフィックス長は 25 以下(例:10.0.0.0/25 または 10.0.0.0/24

        • 50 件の SSL 接続の場合:推奨プレフィックス長は 24 以下(例:10.0.0.0/24 または 10.0.0.0/23

        • 100 件の SSL 接続の場合:推奨プレフィックス長は 23 以下(例:10.0.0.0/23 または 10.0.0.0/22

        • 200 件の SSL 接続の場合:推奨プレフィックス長は 22 以下(例:10.0.0.0/22 または 10.0.0.0/21

        • 500 件の SSL 接続の場合:推奨プレフィックス長は 21 以下(例:10.0.0.0/21 または 10.0.0.0/20

        • 1,000 件の SSL 接続の場合:推奨プレフィックス長は 20 以下(例:10.0.0.0/20 または 10.0.0.0/19

      重要

      • クライアント CIDR ブロックのプレフィックス長は 16 ~ 29 ビットである必要があります。

      • クライアント CIDR ブロックが ローカルネットワーク、VPC の CIDR ブロック、またはクライアントに関連付けられたルート CIDR ブロックと重複しないようにしてください。

      • 10.0.0.0/8172.16.0.0/12192.168.0.0/16 などのプライベート CIDR ブロック、またはそのサブネットを使用してください。パブリック IP アドレス範囲を使用する必要がある場合は、VPC のユーザ定義 CIDR ブロックとして設定し、適切なルーティングを保証する必要があります。詳細については、「VPC のよくある質問」および「VPC のよくある質問」をご参照ください。

      • SSL サーバーを作成後、システムは自動的にクライアント CIDR ブロック向けのルートを VPC のルートテーブルに追加します。このルートを手動で追加しないでください。そうすると SSL-VPN トラフィックに障害が発生する可能性があります。

      高度な構成

      プロトコル

      SSL-VPN 接続に使用するプロトコルです。有効な値は以下のとおりです。

      • UDP

      • TCP(デフォルト)

      ポート

      SSL サーバーで使用するポート番号です。値は 1 ~ 65535 の整数である必要があります。デフォルト値は 1194 です。

      説明

      以下のポートはサポートされていません:22、2222、22222、9000、9001、9002、7505、80、443、53、68、123、4510、4560、500、4500

      暗号化アルゴリズム

      SSL-VPN 接続に使用する暗号化アルゴリズムです。

      • クライアントが Tunnelblick またはバージョン 2.4.0 以降の OpenVPN クライアントを使用する場合、暗号化アルゴリズムは動的にネゴシエーションされます。ネゴシエーションでは、サーバーとクライアントの両方がサポートする最も安全なアルゴリズムが優先されます。SSL サーバーで指定したアルゴリズムは適用されません。

      • クライアントがバージョン 2.4.0 より前の OpenVPN クライアントを使用する場合、クライアントは SSL サーバーで指定したアルゴリズムを使用します。サポートされるアルゴリズムは以下のとおりです。

        • AES-128-CBC(デフォルト)

        • AES-192-CBC

        • AES-256-CBC

        • none

          このオプションは暗号化を無効化します。

      圧縮の有効化

      SSL-VPN 接続におけるデータ圧縮の有効/無効を設定します。有効な値は以下のとおりです。

      • はい

      • いいえ (デフォルト)

      2 要素認証

      二要素認証の有効/無効を設定します。デフォルトでは無効です。

      二要素認証は、SSL-VPN 接続に第 2 のセキュリティ層を追加します。クライアントは、デフォルトの SSL クライアント証明書認証に加えて、IDaaS EIAM インスタンスに対するユーザー名/パスワード認証も通過する必要があります。クライアントは、これらの 2 つの認証チェックをどちらも正常に通過した場合にのみアクセスが許可されます。この二重認証機構により、なりすましや不正な接続を防止し、VPC 内の機密データを保護します。チュートリアルについては、「SSL-VPN の二要素認証」をご参照ください。

      この機能を有効化した後は、認証用の IDaaS EIAM インスタンスおよび IDaaS アプリケーション ID を選択する必要があります。

      二要素認証のプロセスについて学ぶ

      1. クライアントが SSL-VPN 接続要求を開始します。

      2. VPN Gateway インスタンスが要求を受信し、SSL クライアント証明書認証を実行します。証明書の検証後に、ゲートウェイはクライアントに対してユーザー名とパスワードの入力を求めます。

      3. クライアントでユーザー名とパスワードを入力すると、VPN ソフトウェアが認証情報を VPN Gateway インスタンスに送信します。

      4. VPN Gateway インスタンスが認証情報を受信し、IDaaS へ転送して認証を依頼します。

      5. IDaaS がユーザー名とパスワードを認証し、結果を VPN Gateway インスタンスに返します。

      6. VPN Gateway インスタンスは、IDaaS からの結果に基づいて SSL-VPN 接続を許可または拒否します。

      説明

      • 二要素認証機能を初めて使用する際は、事前に必要な権限を付与する必要があります。詳細については、「権限付与」をご参照ください。

      • UAE (ドバイ) リージョンで SSL サーバーを作成する場合、クロスリージョン遅延を低減するために、シンガポールリージョンの IDaaS EIAM 2.0 インスタンスをバインドしてください。

      • IDaaS EIAM 1.0 インスタンスは購入できなくなりました。Alibaba Cloud アカウントに既に IDaaS EIAM 1.0 インスタンスが存在する場合は、二要素認証を有効化した後に引き続きバインドできます。

        Alibaba Cloud アカウントに IDaaS EIAM 1.0 インスタンスがない場合は、IDaaS EIAM 2.0 インスタンスのみをバインドできます。

      • IDaaS EIAM 2.0 インスタンスをバインドする際に、VPN Gateway インスタンスのスペックアップが必要になる場合があります。詳細については、「[お知らせ] SSL-VPN の二要素認証で IDaaS EIAM 2.0 がサポート開始」をご参照ください。

    次のステップ

    SSL サーバーを作成した後は、SSL クライアント証明書を作成してダウンロードする必要があります。その後、この証明書をクライアントデバイスにインストールして、クライアントの認証およびデータの暗号化を行います。詳細については、「SSL クライアント証明書の作成と管理」をご参照ください。

    SSL サーバーの変更

    SSL サーバーを作成した後、その構成を変更できます。変更内容に応じて、新しいクライアント証明書のダウンロードや SSL-VPN 接続の再確立が必要になる場合があります。

    重要

    • プロトコル圧縮の有効化、または 2 要素認証 の設定を 高度な構成 セクションで変更すると、関連付けられたすべての SSL クライアント証明書が無効になります。新しいクライアント証明書を作成し、クライアントにインストールしたうえで、接続を再確立する必要があります。

    • ローカルネットワーク または クライアント CIDR ブロック を変更すると、すべてのアクティブな SSL-VPN 接続が終了します。クライアントは接続を再確立する必要があります。

    1. 以下のいずれかのリンクから VPN Gateway コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、Network Interconnection > VPN > SSL サーバー の順に選択します。

    3. 上部のナビゲーションバーで、SSL サーバーのリージョンを選択します。

    4. SSL サーバー ページで、変更する SSL サーバーを見つけ、操作 列の 編集 をクリックします。

    5. SSL サーバーの編集 パネルで設定を必要に応じて変更し、OK をクリックします。

    SSL サーバーの削除

    不要になった SSL サーバーを削除できます。SSL サーバーを削除すると、関連付けられたすべての SSL クライアント証明書も削除され、アクティブなクライアント接続は即座に終了します。

    1. 以下のいずれかのリンクから VPN Gateway コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、Network Interconnection > VPN > SSL サーバー の順に選択します。

    3. 上部のナビゲーションバーで、SSL サーバーのリージョンを選択します。

    4. SSL サーバー ページで、削除する SSL サーバーを見つけ、操作 列の 削除 をクリックします。

    5. 確認ダイアログボックスで情報を確認し、削除 をクリックします。

    API を使用した SSL サーバーの管理

    SSL サーバーの作成、クエリ、変更、および削除は、Alibaba Cloud SDK(推奨)、Alibaba Cloud Command Line Interface (Alibaba Cloud CLI)Terraform、およびResource Orchestration Service (ROS)などのツールを使用して API オペレーションを呼び出すことで行えます。詳細については、以下の API ドキュメントをご参照ください。