Alibaba Cloud CDN は、HTTPSセキュアアクセラレーションをサポートしています。 Alibaba Cloud CDN コンソールでSSL証明書をデプロイし、HTTPSセキュアアクセラレーションを有効にして、クライアントとPOP (Point of presence) 間のリクエストを暗号化できます。
前提条件
高速化ドメイン名のSSL証明書が用意されています。
SSL証明書を購入する場合は、証明書管理サービスコンソールにログインできます。 認証局 (CA) から証明書を購入するには
サードパーティの証明機関 (CA) によって発行される証明書は、証明書形式の要件を満たす必要があります。 詳細については、「証明書の形式」をご参照ください。
使用上の注意
PEM 形式の証明書のみがサポートされます。 他の形式の証明書をPEM形式に変換できます。 詳細については、「証明書形式の変換」をご参照ください。
サードパーティのCAによって発行された証明書をアップロードするときは、パスワード保護のない秘密鍵を使用します。
SSL証明書を表示できます。 秘密鍵は機密情報と見なされるため、秘密鍵を表示できません。 証明書関連の情報を機密扱いにします。
Alibaba Cloud CDN 以外の環境に秘密鍵を公開したくない場合は、Alibaba Cloud Certificate Management Serviceが提供する証明書署名要求 (CSR) ツールを使用して、Rivest-Shamir-Adleman (RSA) 、楕円曲線暗号化 (ECC) 、およびShangMi2 (SM2) 。 既存のCSRをアップロードすることもできます。 詳細については、「CSRの管理」をご参照ください。
HTTPSを介したエンドツーエンドのデータ転送を有効にする場合は、HTTPSを介したオリジンフェッチを設定する必要があります。 配信元サーバーがHTTPSをサポートしていることを確認します。
SSL証明書の設定または更新
Alibaba Cloud CDNコンソール
左側のナビゲーションウィンドウで、ドメイン名 をクリックします。
[ドメイン名] ページで、管理するドメイン名を見つけて、アクション 列の 管理 をクリックします。
ドメイン名の左側のナビゲーションツリーで、HTTPS 設定 をクリックします。
HTTPS 証明書 セクションで、変更 をクリックします。
HTTPS 設定 ダイアログボックスで、HTTPS セキュアアクセラレーション をオンにし、パラメーターを設定します。
Alibaba Cloud certificate Management Serviceから証明書を購入した場合、Certificate SourceパラメーターをSSL 証明書サービスに設定し、証明書名ドロップダウンリストから購入した証明書を選択します。
説明購入した証明書が利用できない場合は、購入した証明書に関連付けられているドメイン名が高速化ドメイン名であるかどうかを確認します。
サードパーティのCAによって発行された証明書を使用する場合は、certificate Sourceパラメーターをカスタム証明書 (証明書 + プライベートキー) に設定します。 証明書名 パラメーターを設定したら、証明書 (公開鍵) パラメーターと 秘密鍵 パラメーターを設定します。 証明書はAlibaba Cloud certificate Management Serviceに保存されます。 SSL証明書ページで証明書を確認できます。
パラメーター
説明
証明書名
アップロードする証明書の名前を入力します。
名前には、英数字、ピリオド (.)、アンダースコア (_)、およびハイフン (-) を使用できます。
説明証明書名は一意である必要があります。 SSL証明書ページで既存の証明書を表示できます。
証明書が既に存在することを求めるメッセージが表示された場合は、証明書名を変更して証明書を再アップロードします。
証明書 (公開鍵)
PEMエンコードされた証明書ファイルの内容を入力します。
テキストエディターを使用して、PEM形式の証明書ファイルを開くことができます。 次に、Certificate (Public Key) フィールドにコンテンツをコピーします。
詳細については、[証明書 (公開鍵)] フィールドの下にある Pem エンコーディング参照例 をクリックします。
秘密鍵
PEMエンコードされた秘密鍵ファイルの内容を入力します。
テキストエディターを使用して、KEY形式の証明書ファイルを開くことができます。 次に、コンテンツを秘密鍵フィールドにコピーします。
詳細については、プライベートキーフィールドの下にある Pem エンコーディング参照例 をクリックします。
説明「 ----- BEGIN private key ----- 」で始まり、「 ----- END PRIVATE KEY ----- 」で終わる秘密鍵を取得した場合は、OpenSSLツールを使用して次のコマンドを実行し、秘密鍵を変換します。 次に、
new_server_key.pemファイルの内容を秘密鍵フィールドにコピーします。openssl rsa -in old_server_key.pem -out new_server_key.pem
OK をクリックします。
HTTPSセキュアアクセラレーションが有効かどうかを確認する
SSL証明書をアップロードした後、証明書は1分以内に有効になります。 SSL証明書が有効かどうかを確認するには、アクセスリソースにHTTPSリクエストを送信します。 URLがブラウザのアドレスバーにロックアイコンで表示されている場合、HTTPSセキュアアクセラレーションは期待どおりに機能しています。
SSL証明書を設定した後、証明書の有効期限をメモします。 証明書の有効期限が切れる前に新しい証明書を設定する必要があります。
HTTPSセキュアアクセラレーションの無効化
HTTPSセキュアアクセラレーションが不要になった場合は、Alibaba Cloud CDN コンソールでこの機能を無効にできます。 HTTPSセキュアアクセラレーションの無効化はすぐに有効になります。 HTTPSセキュアアクセラレーションを無効にすると、HTTPS経由でリソースにアクセスできなくなり、SSL証明書と秘密鍵が保持されなくなります。
HTTPSセキュアアクセラレーションを再度有効にする場合は、別のSSL証明書を選択します。
参考資料
トピック | 説明 |
クライアントからPOPへのリクエストを強制的にHTTPSにリダイレクトするようにURLリダイレクト機能を設定できます。 | |
HTTP Strict Transport Security (HSTS) を設定すると、ブラウザなどのクライアントはPOPへのHTTPS接続のみを確立してセキュリティを向上させることができます。 | |
POPは証明書検証結果をキャッシュし、クライアントがCAで証明書を検証する必要なしに結果をクライアントに送信します。 これにより、検証時間が短縮される。 |
FAQ
関連する API 操作
| API操作 | 説明 |
| CreateCdnCertificateSigningRequest | 証明書署名要求 (CSR) を作成します。 |
| DescribeDomainCertificateInfo | 高速化ドメイン名に関する証明書情報を照会します。 |
| SetDomainServerCertificate | ドメイン名の証明書を有効または無効にし、証明書情報を変更します。 |
| SetCdnDomainCSRCertificate | 指定したドメイン名のSSL証明書を設定します。 |
| DescribeCdnDomainByCertificate | SSL証明書によって高速化ドメイン名を照会します。 |
| DescribeCdnCertificateDetail | SSL証明書に関する詳細情報を照会します。 |
| DescribeCdnCertificateList | 証明書に関する情報を照会します。 |
| DescribeCertificateInfoByID | 指定されたSSL証明書に関する情報を照会します。 |
| BatchSetCdnDomainServerCertificate | ドメイン名の証明書を有効または無効にし、証明書情報を変更します。 |
| DescribeCdnHttpsDomainList | Alibaba Cloudアカウント内のSSL証明書に関する情報を照会します。 |
| DescribeUserCertificateExpireCount | SSL証明書の有効期限が近づいているか、すでに有効期限が切れているドメイン名の数を照会します。 |
| SetCdnDomainSMCertificate | ドメイン名のShangMi (SM) 証明書を有効または無効にします。 |
| DescribeCdnSMCertificateList | 高速化ドメイン名のSM証明書を照会します。 |
| DescribeCdnSMCertificateDetail | SM証明書の詳細を照会します。 |