お客様が管理する証明書を使用して HTTPS で配信する

  最終更新日 2022-04-14

このガイドでは、Fastly TLS を使用して、Fastly コントロールパネル経由でお客様所有の TLS 証明書と秘密鍵をアップロードし、デプロイする方法についてご説明します。

HTTPS を使用して Fastly から安全なトラフィックを配信するため、Web サイトやアプリケーションは、信頼できる認証局 (CA) によって署名された有効な TLS 証明書をクライアントに提供する必要があります。TLS (トランスポートレベルセキュリティ) とその前身である SSL (セキュアソケットレイヤー) は、クライアントがサーバーとセキュアな接続を確立し、トラフィックを HTTPS で配信することを可能にするプロトコルです。

作業を始める前に

コントロールパネル経由でアップロードし、デプロイした証明書と秘密鍵で Fastly TLS を使用する前に、以下の条件が満たされていることをご確認ください。

  • スーパーユーザーのロールが割り当てられている、またはTLS 管理権限を持つ有料の Fastly ユーザーアカウント (無料の開発者アカウントでは本機能は利用できません)
  • 信頼できる認証局によって発行された有効な X.509 TLS 証明書と対応する 2048-bit RSA 秘密鍵
  • TLS 証明書に SAN (サブジェクト代替名) エントリーとして表示される関連ドメインの DNS レコードを変更する権限を有すること
  • 関連するドメインが適切に設定された Fastly サービスに追加されている

Fastly TLS のコントロールパネルは、お客様 TLS 証明書のホスティングサービスでアップロードされた証明書においてもご利用いただけますが以下の制約にご注意下さい。

  • 以前にアップロードされた証明書を置き換えた場合でも、引き続きお客様 TLS 証明書ホスティングサービスをご利用でき、請求に変更はありません。
  • 以前にアップロードされた証明書をお客様 TLS 証明書ホスティングサービスから削除し、Fastly TLS のコントロールパネルを使用して新しい証明書をアップロードした場合、新しい証明書は Fastly TLS の請求対象となります。削除された証明書については、お客様 TLS 証明書ホスティングサービスのご契約内容に応じてご契約期間が完了するまで課金が発生します。

お客様 TLS 証明書ホスティングサービスから Fastly TLS への証明書の移行については、support@fastly.com までお問い合わせください。

これらの利用条件に加えて以下の制約事項についてもご了承下さい。

  • デフォルトの設定ではアップロードされた証明書を利用するクライアントが TLSv1.2 と Server Name Indication (SNI) をサポートする必要があります。これらのデフォルト以外の設定を使用する方法については、sales@fastly.com までお問い合わせください。カスタム設定を使用する場合は、専用の Fastly IP アドレスプールを別途ご購入頂く必要があります。
  • Fastly TLS は、Triple DES (3des) 暗号スイートをサポートしていません。
  • DigiCert をご利用の場合、証明書を変更すると、DigiCert は再発行の72時間後に元の証明書を無効化しますのでご注意ください。速やかに新しい証明書をアップロードし、すべてのホスト名を切り替えてください。

秘密鍵と証明書をアップロードする

TLS 証明書とそれに対応する (証明書の生成に使用された) 秘密鍵をアップロードするには、以下の手順に従ってください。

  1. Fastly コントロールパネルにログインし、Deliver をクリックします。
  2. HTTPS and network タブをクリックします。TLS domains ページが表示され、TLS が有効化されている、または TLS を有効化することができるドメインが表示されます。まだどのドメインにも TLS を設定していない場合、このページには何も表示されません。
  3. Secure another domain ボタンをクリックします。Enter domain ウィンドウが表示されます。
  4. I want to bring my own certificate and private key をクリックします。TLS certificates タブに移動すると、セキュアなアップロード機能が表示されます。

  5. 秘密鍵を指定エリアにドラッグアンドドロップしてアップロードします。または、Browse for key file をクリックし、ファイルを選択してアップロードすることもできます。

    アップロード機能の下に秘密鍵が表示され、左には Unmatched key ラベルが表示されます。

    一致する証明書が必要なアップロードされたが一致しなかった秘密鍵

  6. 秘密鍵の場合と同様に、TLS 証明書をドラッグアンドドロップするか、またはファイル選択機能でアップロードして下さい。正しくアップロードするとメッセージが表示されます。

ドメインで TLS を有効化する

有効な証明書と秘密鍵がアップロードされると、SAN エントリーとして表示されるすべてのドメインが、TLS ready のステータスで TLS domains ページに表示されます。この証明書を使用して HTTPS での配信を行うためには、以下の手順でドメインの TLS を有効にし、DNS レコードを証明書の場所に向けるように設定します。

  1. TLS domains タブをクリックします。SAN エントリーとして表示されるすべてのドメインのリストが表示されます。無効化されている状態のドメインは、TLS status が「Ready」と表示されます。

    tls domain タブで san エントリとして表示されるドメインのリスト、ドメインが無効状態でステータスには tls ready と表示されている

  2. 有効化したいドメインの右側にある Enable TLS ボタンをクリックします。お客様の TLS 証明書が Fastly のエッジネットワーク全体に展開されます。証明書が世界中で利用可能になるには、最大1時間かかる場合があります。

  3. ドメインに関連する TLS 設定を確認するには、More details をクリックします。ドメインの TLS 設定の詳細が表示されます。

    トラフィックがまだ流れ始めない状態で More details をクリックすることで表示されたドメイン詳細

  4. 証明書を使用して TLS 接続を確立できるよう、このセクションで表示される DNS の詳細に基づいて DNS レコードを設定します。

TLS 設定をドメインに適用する

TLS 設定には、サポートする TLS と HTTP のバージョンに加え、クライアントが使用するネットワークやハンドシェイクのオプションに関する一連の情報が含まれます。アカウントに複数の TLS 設定がある場合、デフォルトの設定表示エリアの右上に「Default」と表示されます。

デフォルト構成が構成カードの右上隅にデフォルトとしてマークされた TLS configurations タブの構成リスト

ドメインに適用されているデフォルトの TLS 設定を上書きしたり、ドメインが別の設定を利用できるようにするには、以下の手順に従ってください。

  1. TLS domains タブをクリックします。
  2. 変更を行うドメインの More details をクリックします。

  3. ドメイン設定の下部にある Add TLS configuration メニューに利用可能な設定オプションが表示されるので、適用したい TLS 設定を選択します。

    トラフィックがまだ流れ始めない状態で more details をクリックすることで表示されたドメイン詳細、および Add TLS configuration メニューから選択できる関連付けられた TLS の追加設定

    TLS 設定を選択すると選択した設定がドメインに適用されます。各 TLS 設定は有効化され、それぞれ の IP アドレスと DNS レコード経由でアクセスできます。

    アクティブかつ特定の IP アドレスと dns レコードで利用可能な tls 設定のリスト

  4. ご希望の TLS 設定のエリアに表示される DNS details を使用して、DNS レコードを更新します。
  5. 新しい DNS レコードがインターネット上に伝播されたことを確認した後、 古い TLS 設定のゴミ箱アイコンをクリックして削除します。DNS レコードの反映には最大48時間かかる場合があります。

証明書の置き換え

TLS certificates ページでは、証明書の有効期限が近づくと警告が表示されます。

証明書の有効期限が迫っていることを通知する警告

証明書が有効期限を過ぎた場合も以下のように警告が表示されます。

証明書の有効期限が切れたことを通知する警告

また、置き換えられる必要がある証明書を Fastly が特定する場合があります。これらの証明書には、置き換えを推奨するメッセージと「Replace」ボタンが表示されます。

置き換えが必要な証明書の置き換えを推奨するメッセージ

Fastly では、いつでも証明書を新しいものと置き換えることができます。

削除されるドメインがない場合の証明書の置き換え

既存の証明書と同じドメインをすべて含む (スーパーセットまたは一致するリストとして) 証明書に置き換える場合は、以下の手順に従ってください。

  1. 新しい証明書を任意の認証局から調達します。
  2. 新しい証明書のために新しい秘密鍵も生成された場合は、秘密鍵をアップロードします。

  3. コントロールパネルの TLS certificates タブで、置き換える証明書を探します。

    置換可能な証明書の右上に表示された「Replace」という単語と置換アイコン

  4. 置き換える証明書の右上に表示される Update ボタンをクリックします。
  5. 表示されたファイル選択ウィンドウで、既存の証明書を置き換える新しい証明書を探します。選択した新しい証明書は PEM 形式で、既存の証明書のすべての SAN エントリーが含まれている (完全に一致するリスト、またはスーパーセットが含まれている) 必要があります。

  6. 証明書の更新処理が完了するのを待ちます。証明書が正常に更新されたことを示すメッセージが表示されます。

    証明書の置換が成功したことを示すメッセージ

古い証明書を使用して配信していたすべてのドメインの TLS トラフィックが自動的に数分以内に更新した新しい証明書を使用して配信されるようになります。新しく追加されたドメインは、ドメインで TLS を有効にする手順に従って、手動で TLS を有効にする必要があります。

ドメインに変更がある場合の証明書の置き換え

ドメインの削除を必要とする証明書を更新する場合は、SAN エントリーのリストを更新した新しい証明書を入手する必要があります。以下の手順に従って、この証明書を新しい証明書としてアップロードします。

  1. 新しい証明書をアップロードします。
  2. TLS domains タブをクリックし、変更したい証明書ですでに有効になっている既存のドメインを確認します。

  3. ドメインの More details をクリックすると、有効化されている TLS 設定が表示されます。

    TLS リクエストを終了する際にどの TLS 証明書を使用するかを選択できる more details メニュー

  4. Certificate being used メニューから新しい証明書を選択します。確認メッセージが表示されます。
  5. 確認メッセージの Use this certificate ボタンをクリックします。
  6. ドメインで TLS を有効にするを参照して、更新された証明書に追加された新しいドメインに対して TSL を手動で有効化します。新たに TLS が有効化されたドメインの証明書が Fastly のグローバルネットワーク全体に展開されるまで、20分から1時間かかります。1時間経過しても新しい証明書で TLS トラフィックが配信されない場合は、support@fastly.com までご連絡ください。

TLS の無効化および証明書と秘密鍵の削除

TLS が有効化されているドメインは、TLS domains ページに表示される Disable TLS リンクで TLS を無効にすることができます。TLS が無効化されたドメインでは、Fastly は TLS トラフィックを配信しません。

TLS certificates ページから証明書を削除する場合は、必ずその証明書に含まれるすべてのドメインの TLS 設定を無効にします。また、秘密鍵を削除する場合は、対応するすべての証明書がすでに削除されている必要があります。

証明書の有効期限

証明書の有効期限が残り30日になると、コントロールパネルに期限切れ間近の証明書に関する警告が表示されます。また、TLS 管理権限を持つアカウントのすべてのユーザーに対して、定期的に有効期限を通知するメールが自動的に送信されます。証明書を置き換える、または削除しない限り、証明書の期限が切れるまで繰り返しメールが送信されます。証明書の有効期限が切れると、Fastly は期限切れに関する自動通知メールを送信しません。

Back to Top