本ドキュメントでは、HTTPS リスナーを Server Load Balancer (SLB) インスタンスに追加する方法について説明します。 HTTPS リスナーを追加して、HTTPS プロトコルからのリクエストを転送することができます。
始める前に
SLB インスタンスを作成します。 詳細については、「SLB インスタンスの作成」をご参照ください。
ステップ 1 リスナーの設定ウィザードを開く
リスナーの設定ウィザードを開くには、次の手順に従ってください。
ステップ 2 HTTPS リスナーの設定
HTTPS リスナーを設定するには、次の手順に従ってください。
ステップ 3 SSL 証明書の設定
HTTPS リスナーを追加するには、次の表に示すように、サーバー証明書または CA 証明書をアップロードする必要があります。
証明書 | 説明 | 片方向認証に必須 | 双方向認証に必須 |
---|---|---|---|
サーバー証明書 | サーバーの識別に使用されます。
クライアントはこれを通して、サーバーから送信された証明書が信頼できるセンターにより発行されているか否かをチェックします。 |
はい。
サーバー証明書を、 SLB の証明書管理システムにアップロードする必要があります。 |
はい。
サーバー証明書を、 SLB の証明書管理システムにアップロードする必要があります。 |
クライアント証明書 | クライアントの識別に使用されます。
クライアントユーザーは、サーバーと通信する際に、実 ID を証明することができます。 自己署名 CA 証明書でクライアント証明書に署名できます。 |
いいえ。 | はい。
クライアント証明書を、クライアントにインストールする必要があります。 |
CA 証明書 | サーバーは、安全な接続を開始する前に、CA 証明書で、クライアント証明書の署名を認証の一部として認証します。 認証に失敗した場合、接続が拒否されます。 | いいえ。 | はい。
サーバー証明書を、 SLB の証明書管理システムにアップロードする必要があります。 |
- アップロードされる証明書は、PEM 形式である必要があります。 詳細については、「証明書の要件」をご参照ください。
- 証明書が SLB にアップロードされた後、SLBは証明書を管理でき、バックエンド ECS インスタンスに証明書をバインドする必要はありません。
- 証明書のアップロード、読み込み、および検証に時間がかかるため、HTTPS リスナーを有効にするには、通常 1~3 分かかります。 通常、有効までにかかる時間は 1 分ですが、最長 3 分となります。
- HTTPS リスナーで使用される ECDHE アルゴリズムクラスターは、前方秘匿性(forward secrecy)に対応していますが、DHE アルゴリズムクラスターで必要なセキュリティ拡張パラメーターファイル
(PEM 証明書ファイル内の
BEGIN DH PARAMETERS
フィールドを含む文字列など) のアップロードには対応していません。 詳細については、「証明書の要件」をご参照ください。 - 現時点では、SLB HTTPS リスナーは、 SNI (Server Name Indication) に対応していません。 その代わりに TCP リスナーを使用して、バックエンド ECS インスタンスで SNI を設定することができます。
- HTTPS リスナーのセッションチケット保持時間は 300 秒です。
- 実際のトラフィック量は、プロトコルのハンドシェイクにトラフィックが使用されるため、課金されたトラフィック量より多くなります。
- 新しい接続が大量に確立された場合、HTTPS リスナーはより多くのトラフィックを消費します。
ステップ 4 バックエンドサーバーの追加
リクエストを処理するバックエンドサーバーを追加する必要があります。 SLB インスタンス用に設定されたデフォルトのサーバーグループを使用するか、リスナー用に VServer グループまたはアクティブ/スタンバイサーバーグループを設定できます。 詳細は、「バックエンドサーバーの概要」をご参照ください。
ここでは、デフォルトのサーバーグループを使用します。
ステップ 4 ヘルスチェックの設定
SLB は、ヘルスチェックを実行して、バックエンドサーバーのサービスの可用性を確認します。 ヘルスチェック機能によって、サービスの全体的な可用性が向上し、バックエンドサーバーから障害の影響を受けなくなります。 [変更] をクリックして、ヘルスチェックの設定情報を変更します。 詳細は、「ヘルスチェックの概要」をご参照ください。
ステップ 6 設定情報の送信
リスナーの設定情報を送信するには、次の手順に従ってください。