edit-icon download-icon

HTTPS 設定

最終更新日: Dec 26, 2018

概要

  • HTTPS は HTTP を SSL/TLS プロトコルでカプセル化しているので、HTTPS のセキュリティの基盤となるのは SSL/TLS です。

  • SSL アクセラレーションの利点:

    • 重要なユーザー情報は、送信中に暗号化され、セッション ID や Cookie などの機密情報の漏洩や他の潜在的な安全上の危険を防ぎます。
    • 送信中にデータの完全性検証が行われ、DNS やコンテンツが第三者にハイジャック、改ざん、および MITM (Man-in-the-Middle) 攻撃されるのを防ぎます。詳細については、「HTTPS を使用してトラフィックの不正アクセスを防止する」(HTTPS を使用してトラフィックの不正アクセスを防止する) をご参照ください。
  • Alibaba Cloud DCDN は、SSL アクセラレーションを提供します。SSL アクセラレーションモードを有効にしてから、CDN ドメインの証明書と秘密鍵をアップロードする必要があります。DCDN では、証明書を表示、無効化、有効化、および編集することもできます。

  • 無料の証明書を申請するか、Alibaba Cloud SSL Certificates Service で高度な証明書を購入することができます。Alibaba Cloud SSL Certificates Service で購入した証明書は、証明書をアップロードしなくても DCDN コンソールで直接選択することができます。

  • 証明書が正しく設定され、有効になっている場合、HTTP アクセスと HTTPS アクセスの両方がサポートされます。証明書が秘密鍵と一致しないか、無効になっている場合は、HTTP アクセスのみがサポートされます。

  • SNI オリジンフェッチは、 サポートされていません

制限とガイドライン

設定

  • SSL アクセラレーションでは、ワイルドカードドメイン名がサポートされています。

  • SSL アクセラレーションを有効にするオプションと、無効にするオプションが用意されています。

    • 有効:証明書の変更がサポートされます。デフォルトで、HTTP リクエストと HTTPS リクエストの両方がサポートされており、強制リダイレクトがサポートされています。
    • 無効:HTTPS リクエストはサポートされません。証明書と秘密鍵の情報は保持されません。証明書を再度有効にするには、証明書と秘密鍵を再アップロードする必要があります。
  • 秘密鍵は機密情報であるため、表示することはできません。証明書情報は、安全に保存してください。

  • 証明書の変更が可能です。変更が有効になるまで、10 分ほどかかります。証明書の変更は、慎重に行ってください。

課金

SSL アクセラレーションは、付加価値サービスです。有効化された時点で、HTTPS リクエスト数に基づいて課金が発生します。課金の基準については、DCDN プロダクトページをご参照ください。

注意:HTTPS は、リクエスト数に基づいて別途課金されます。料金は、CDN トラフィックパッケージやサブスクリプションプランには含まれません。HTTPS サービスを有効化する前に、口座に十分な残高があることを確認し、未払いが発生しないようにしてください。未払いが発生した場合、DCDN サービスに影響を及ぼす可能性があります。

証明書

  • DCDN ドメインの SSL アクセラレーションを有効にするには、証明書と秘密鍵を PEM 形式でアップロードする必要があります。詳細は、「証明書の形式の説明」をご参照ください。

  • 注意:DCDN は、Nginx をベースとする Tengine サービスを採用しているため、Nginx で読み取り可能な証明書、つまり PEM 証明書のみがサポートされています。

  • SNI 情報を含む TLS ハンドシェイクのみがサポートされています。

  • アップロードする証明書と秘密鍵が、一致する必要があります。一致しない場合、検証中にエラーが発生します。

  • 証明書の更新が有効になるまで、10 分ほどかかります。

  • パスワードで保護された秘密鍵は、サポートされていません。

手順

ステップ 1:証明書の購入

SSL アクセラレーションを有効にするには、DCDN ドメイン名に関連付けられた証明書が必要です。無料の証明書を申請するか、Alibaba Cloud SSL Certificates Service で高度な証明書を購入することができます。

ステップ 2:DCDN ドメイン名の設定

  1. [ドメイン名] ページでドメイン名を選択し、[設定] をクリックします。

  2. [HTTPS 設定] > [SSL 証明書] に移動し、[変更] をクリックして [SSL アクセラレーション] を有効にします。

    注意:SSL アクセラレーションは、付加価値サービスです。有効化された時点で、HTTPS リクエスト数に基づいて課金が発生します。詳細については、DCDN プロダクトページをご参照ください。

  3. 証明書を選択します。

    • 無料の証明書を申請するか、Alibaba Cloud SSL Certificates Service で高度な証明書を購入することができます。Alibaba Cloud SSL Certificates Service で購入した証明書を、証明書名を使用して DCDN ドメインに関連付けることができます。

    • 適用可能な証明書が証明書リストに存在しない場合は、カスタム証明書をアップロードできます。この場合、証明書の名前を設定し、証明書情報と秘密鍵をアップロードする必要があります。この証明書は、Alibaba Cloud SSL Certificates Service に保存され、[マイ証明書] に表示されます。

    • PEM 形式の証明書のみがサポートされています。詳細については、「証明書の形式の説明」をご参照ください。
  4. [強制リダイレクト] 機能を設定すると、ユーザーのリクエストをリダイレクトすることができます。

    たとえば、[強制リダイレクト] が有効化されていて、ユーザーが HTTP リクエストを送信した場合 、サーバーは 302 リダイレクトのレスポンスを返し、元の HTTP リクエストは HTTPS リクエストにリダイレクトされます。

    • デフォルト:HTTP リクエストと HTTPS リクエストがサポートされます。
    • HTTP から HTTPS:ユーザーのリクエストは、HTTPS リクエストにリダイレクトされます。
    • HTTPS から HTTP:ユーザーのリクエストは、HTTP リクエストにリダイレクトされます。

ステップ 3:証明書が有効かどうかの確認

SSL 証明書の設定を完了し、証明書が有効になった後 (約 1 時間後)、HTTPS を使用してリソースにアクセスします。次の図に示すように、ブラウザに緑色の HTTPS のアイコンが表示されている場合、Web サイトとのプライベート接続が確立されており、SSL アクセラレーションが有効になっていることを示します。

Verify HTTPS