SSL サーバーの作成と管理 - VPN Gateway - Alibaba Cloud ドキュメントセンター

このトピックでは、SSL サーバーを作成および管理する方法について説明します。 SSL サーバーを使用すると、クライアントが特定のネットワークおよびリソースにアクセスすることを許可または拒否できます。 SSL-VPN 機能を使用するには、事前に SSL サーバーを作成する必要があります。

前提条件

VPN ゲートウェイが作成され、VPN ゲートウェイで SSL-VPN 機能が有効になっていること。詳細については、「VPN ゲートウェイの作成と管理」をご参照ください。

VPN ゲートウェイの作成時に VPN ゲートウェイの SSL-VPN 機能を無効にした場合、VPN ゲートウェイの作成後に VPN ゲートウェイの SSL-VPN 機能を有効にすることができます。詳細については、「IPsec-VPN と SSL-VPN を有効にする」トピックの「SSL-VPN の有効化」セクションをご参照ください。

SSL サーバーの作成

VPN ゲートウェイコンソールにログオンします。
左側のナビゲーションウィンドウで、[相互接続] > [VPN] > SSL サーバー を選択します。
上部のナビゲーションバーで、SSL サーバーのリージョンを選択します。
SSL サーバーと VPN ゲートウェイは同じリージョンに存在する必要があります。
SSL サーバー ページで、SSLサーバーの作成 をクリックします。

SSLサーバーの作成 パネルで、次のパラメーターを設定し、OK をクリックします。

パラメーター	説明
名前	SSL サーバーの名前。
リソースグループ	VPN ゲートウェイが属するリソースグループ。 SSL サーバーが属するリソースグループは、VPN ゲートウェイが属するリソースグループと同じである必要があります。
VPN Gateway	SSL サーバーに関連付ける VPN ゲートウェイを選択します。 VPN ゲートウェイで SSL-VPN が有効になっていることを確認してください。
ローカルネットワーク	クライアントが SSL-VPN 接続を使用してアクセスする必要があるローカル CIDR ブロック。 CIDR ブロックには、VPC (Virtual Private Cloud)、vSwitch、Object Storage Service (OSS) や ApsaraDB RDS などのクラウドサービス、または Express Connect 回線を介して VPC に接続されているデータセンターの CIDR ブロックを指定できます。 [ローカルネットワークの追加] をクリックすると、最大 5 つのローカル CIDR ブロックを追加できます。次の CIDR ブロックをローカル CIDR ブロックとして指定することはできません。 127.0.0.0～127.255.255.255 169.254.0.0～169.254.255.255 224.0.0.0～239.255.255.255 255.0.0.0～255.255.255.255 説明指定されたローカル CIDR ブロックのサブネットマスクは、長さが 8 ～ 32 ビットである必要があります。
クライアントサブネット	クライアントの仮想ネットワークインターフェースコントローラー (NIC) に IP アドレスが割り当てられる CIDR ブロック。クライアントのプライベート CIDR ブロックを入力しないでください。クライアントが SSL-VPN 接続を介して SSL サーバーにアクセスする場合、VPN ゲートウェイは指定されたクライアント CIDR ブロックからクライアントに IP アドレスを割り当てます。クライアントは、割り当てられた IP アドレスを使用してクラウドリソースにアクセスします。クライアント CIDR ブロック内の IP アドレスの数が、VPN ゲートウェイでサポートされている SSL-VPN 接続の最大数の少なくとも 4 倍であることを確認してください。理由を表示するには、クリックしてください。たとえば、クライアント CIDR ブロックとして 192.168.0.0/24 を指定した場合、システムはまず、192.168.0.0/24 から 30 ビット長のサブネットマスクを持つサブネット CIDR ブロック (例: 192.168.0.4/30) を分割します。これにより、最大 4 つの IP アドレスが提供されます。次に、システムは 192.168.0.4/30 からクライアントに IP アドレスを割り当て、他の 3 つの IP アドレスを使用してネットワーク通信を確保します。この場合、1 つのクライアントが 4 つの IP アドレスを消費します。したがって、クライアントに IP アドレスが割り当てられるようにするには、クライアント CIDR ブロック内の IP アドレスの数が、SSL サーバーが関連付けられている VPN ゲートウェイでサポートされている SSL-VPN 接続の最大数の少なくとも 4 倍であることを確認する必要があります。サポートされていない CIDR ブロックを表示するには、クリックしてください。 100.64.0.0～100.127.255.255 127.0.0.0～127.255.255.255 169.254.0.0～169.254.255.255 224.0.0.0～239.255.255.255 255.0.0.0～255.255.255.255 SSL-VPN 接続数別の推奨クライアント CIDR ブロック SSL-VPN 接続数が 5 の場合、サブネットマスクが 27 ビット以下のクライアント CIDR ブロックを指定することをお勧めします。例: 10.0.0.0/27 および 10.0.0.0/26。 SSL-VPN 接続数が 10 の場合、サブネットマスクが 26 ビット以下のクライアント CIDR ブロックを指定することをお勧めします。例: 10.0.0.0/26 および 10.0.0.0/25。 SSL-VPN 接続数が 20 の場合、サブネットマスクが 25 ビット以下のクライアント CIDR ブロックを指定することをお勧めします。例: 10.0.0.0/25 および 10.0.0.0/24。 SSL-VPN 接続数が 50 の場合、サブネットマスクが 24 ビット以下のクライアント CIDR ブロックを指定することをお勧めします。例: 10.0.0.0/24 および 10.0.0.0/23。 SSL-VPN 接続数が 100 の場合、サブネットマスクが 23 ビット以下のクライアント CIDR ブロックを指定することをお勧めします。例: 10.0.0.0/23 および 10.0.0.0/22。 SSL-VPN 接続数が 200 の場合、サブネットマスクが 22 ビット以下のクライアント CIDR ブロックを指定することをお勧めします。例: 10.0.0.0/22 および 10.0.0.0/21。 SSL-VPN 接続数が 500 の場合、サブネットマスクが 21 ビット以下のクライアント CIDR ブロックを指定することをお勧めします。例: 10.0.0.0/21 および 10.0.0.0/20。 SSL-VPN 接続数が 1,000 の場合、サブネットマスクが 20 ビット以下のクライアント CIDR ブロックを指定することをお勧めします。例: 10.0.0.0/20 および 10.0.0.0/19。重要クライアント CIDR ブロックのサブネットマスクは、長さが 16 ～ 29 ビットである必要があります。クライアント CIDR ブロックが、ローカル CIDR ブロック、VPC CIDR ブロック、またはクライアントに関連付けられたルート CIDR ブロックと重複していないことを確認してください。クライアント CIDR ブロックとして、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、またはそれらのサブネットのいずれかを使用することをお勧めします。パブリック CIDR ブロックをクライアント CIDR ブロックとして指定する場合は、パブリック CIDR ブロックを VPC のユーザー CIDR ブロックとして指定する必要があります。これにより、VPC はパブリック CIDR ブロックにアクセスできます。詳細については、「よくある質問」トピックの「ユーザー CIDR ブロックとは」セクションと「ユーザー CIDR ブロックを構成する方法」セクションをご参照ください。 SSL サーバーを作成した後、システムはクライアント CIDR ブロックを指すルートを VPC ルートテーブルに自動的に追加します。クライアント CIDR ブロックを指すルートを VPC ルートテーブルに再度追加しないでください。そうしないと、SSL-VPN 接続が正しく機能しません。
高度な構成
プロトコル	SSL-VPN 接続で使用されるプロトコル。デフォルト値: TCP (推奨)。有効な値: UDP TCP (推奨)
ポート	SSL サーバーで使用されるポート。有効な値の範囲は 1 ～ 65535 です。デフォルト値: 1194。説明次のポートはサポートされていません: 22、2222、22222、9000、9001、9002、7505、80、443、53、68、123、4510、4560、500、および 4500。
暗号化アルゴリズム	SSL-VPN 接続で使用される暗号化アルゴリズム。クライアントが Tunnelblick または OpenVPN V2.4.0 以降を使用している場合、SSL サーバーはクライアントと暗号化アルゴリズムについて動的にネゴシエートし、SSL サーバーとクライアントでサポートされている最も安全な暗号化アルゴリズムを使用します。 SSL サーバーに指定した暗号化アルゴリズムは有効になりません。クライアントが 2.4.0 より前のバージョンの OpenVPN を使用している場合、SSL サーバーとクライアントは、SSL サーバーに指定した暗号化アルゴリズムを使用します。 SSL サーバーには、次の暗号化アルゴリズムのいずれかを指定できます。 AES-128-CBC AES-192-CBC AES-256-CBC なし値なしは、暗号化アルゴリズムが使用されていないことを示します。
圧縮の有効化	SSL-VPN 接続を介して送信されるデータを圧縮するかどうかを指定します。デフォルト値: いいえ。有効な値: はいいいえ (デフォルト)
2 要素認証	VPN ゲートウェイの二要素認証を有効にするかどうかを指定します。デフォルトでは、二要素認証は無効になっています。二要素認証では、SSL-VPN 接続が確立される前に、デフォルトの SSL クライアント証明書と IDaaS EIAM のユーザー名とパスワードを使用してクライアントの ID を検証します。接続を作成するには、クライアントが両方の認証に合格する必要があります。二要素認証は、ユーザー ID の盗難と不正な SSL-VPN 接続を防ぐのに役立ちます。 SSL-VPN 接続のセキュリティを効率的に向上させ、VPC 内の機密データをデータ侵害から保護します。詳細については、「SSL-VPN 二要素認証」をご参照ください。二要素認証を有効にした後、認証に使用する IDaaS EIAM インスタンスと IDaaS アプリケーション ID を選択できます。二要素認証手順を表示するには、クリックしてくださいクライアントが SSL-VPN 接続リクエストを開始します。 VPN ゲートウェイがリクエストを受信すると、VPN ゲートウェイはクライアントの SSL クライアント証明書を検証します。クライアントが認証に合格した後、クライアントでユーザー名とパスワードを入力する必要があります。次に、VPN ソフトウェアはユーザー名とパスワードを VPN ゲートウェイに渡します。 VPN ゲートウェイはユーザー名とパスワードを受信すると、認証のために IDaaS に送信します。 IDaaS はユーザー名とパスワードを検証し、認証結果を VPN ゲートウェイに返します。 VPN ゲートウェイは、認証結果に基づいて SSL-VPN 接続リクエストを受け入れるか拒否します。説明初めて二要素認証機能を使用する場合は、最初に VPN がクラウドリソースにアクセスできるように承認する必要があります。 UAE (ドバイ) リージョンで SSL サーバーを作成する場合は、遅延を SSL サーバーをシンガポールの IDaaS EIAM 2.0 インスタンスに関連付けることをお勧めします。 IDaaS EIAM 1.0 インスタンスは購入できなくなりました。 Alibaba Cloud アカウントに IDaaS EIAM 1.0 インスタンスがある場合は、二要素認証機能を有効にした後も、IDaaS EIAM 1.0 インスタンスを指定できます。 Alibaba Cloud アカウントに IDaaS EIAM 1.0 インスタンスがない場合は、二要素認証機能を有効にした後、IDaaS EIAM 2.0 インスタンスのみを指定できます。 IDaaS EIAM 2.0 インスタンスに関連付けるために、VPN ゲートウェイを更新する必要がある場合があります。詳細については、「SSL-VPN 接続の二要素認証の IDaaS EIAM 2.0 インスタンスのサポート変更に関するお知らせ」をご参照ください。

次の手順

SSL サーバーの作成後、SSL サーバーに基づいて SSL クライアント証明書を作成し、ID 認証とデータ暗号化のためにクライアントに SSL クライアント証明書をインストールする必要があります。詳細については、「SSL クライアント証明書の作成と管理」をご参照ください。

SSL サーバーの変更

SSL サーバーの作成後、SSL サーバーの構成を変更できます。 SSL サーバーの構成を変更した後、SSL クライアント証明書を再度ダウンロードしてインストールするか、SSL-VPN 接続を再起動する必要がある場合があります。

重要

SSL サーバーの 高度な構成 セクションで、プロトコル、圧縮の有効化、または 2 要素認証 パラメーターの値を変更すると、SSL サーバーに関連付けられている SSL クライアント証明書は無効になります。この場合、新しい SSL クライアント証明書を作成し、証明書をクライアントにインストールしてから、SSL-VPN 接続を再起動する必要があります。
SSL サーバーの ローカルネットワーク または クライアントサブネット パラメーターの値を変更すると、SSL サーバーへのすべての SSL-VPN 接続が中断されます。この場合、クライアントから SSL-VPN 接続を再起動する必要があります。

VPN ゲートウェイコンソールにログオンします。
左側のナビゲーションウィンドウで、[相互接続] > [VPN] > SSL サーバー を選択します。
上部のナビゲーションバーで、SSL サーバーのリージョンを選択します。
SSL サーバー ページで、変更する SSL サーバーを見つけ、編集操作列のをクリックします。
SSL サーバーの編集 パネルで、SSL サーバーの名前、ローカル CIDR ブロック、クライアント CIDR ブロック、または詳細設定を変更し、OK をクリックします。

SSL サーバーの削除

不要になった SSL サーバーを削除できます。 SSL サーバーが削除されると、システムは SSL サーバーに関連付けられているすべての SSL クライアント証明書を自動的に削除します。この場合、SSL クライアント証明書がインストールされているクライアントの SSL-VPN 接続は自動的に切断されます。

VPN ゲートウェイコンソールにログオンします。
左側のナビゲーションウィンドウで、[相互接続] > [VPN] > SSL サーバー を選択します。
上部のナビゲーションバーで、SSL サーバーのリージョンを選択します。
SSL サーバー ページで、削除する SSL サーバーを見つけ、削除操作列のをクリックします。
表示されるメッセージで情報を確認し、削除をクリックします。

API 操作を呼び出して SSL サーバーを作成および管理する

Alibaba Cloud SDK、Alibaba Cloud Command Line Interface (Alibaba Cloud CLI)、Terraform、または Resource Orchestration Service (ROS) を使用して、API 操作を呼び出し、SSL サーバーを作成、クエリ、変更、または削除できます。 Alibaba Cloud SDK を使用して API 操作を呼び出すことをお勧めします。 API 操作の詳細については、以下のトピックをご参照ください。

CreateSslVpnServer: SSL サーバーを作成します。
DeleteSslVpnServer: SSL サーバーを削除します。
ModifySslVpnServer: SSL サーバーの構成を変更します。
DescribeSslVpnServers: SSL サーバーをクエリします。