独自の証明書で TLS を設定する

このガイドでは、Fastly TLS プロダクトを使用して、Fastly コントロールパネルでお客様の TLS 証明書とプライベートキーをアップロードし、デプロイする方法について説明します。

HTTPS (Hypertext Transfer Protocol Secure) を使用して Fastly から安全なトラフィックを配信するために、Web サイトやアプリケーションは、信頼できる認証機関 (CA) によって署名された有効な TLS 証明書を提供する必要があります。TLS (トランスポートレベルセキュリティ) とその前身の SSL (セキュアソケットレイヤー) を利用することで、クライアントは安全なサーバー接続を通じて HTTPS によってトラフィックを配信することができます。

ヒント

Fastly では、Fastly 上のドメインの TLS を有効にするために使用される、鍵や証明書をアップロードして管理する API を提供しています。

設定前の注意点

ドメインに TLS を設定する前に、Fastly TLS の前提条件と制限事項をご確認ください。

初めて TLS の設定

TLS を設定するには、TLS 証明書と一致する秘密鍵 (最初は証明書の生成に使用されます) をアップロードします。その後、ドメインに TLS 設定を適用し、ドメインで TLS を有効化します。

初めて TLS を設定するには、以下の手順を完了します。

  1. Fastly コントロールパネルにログインし、Secure リンクをクリックします。Secure ページでは、Fastly のセキュリティ製品の概要が表示されます。
  2. Manage certificates をクリックします。
  3. Get started をクリックします。
  4. Upload my own private key and certificate をクリックして続行します。
  5. キーファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。または、ブラウズリンクをクリックしてファイルピッカーを使用してシステム上のファイルに移動します。成功メッセージとキーの可視化が表示されます。
重要

キーファイルアップロードツールでは、現在256ビットまたは384ビットの ECDSA キーまたは2048ビットの RSA キーのみを使用できます。

  1. 証明書ファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。または、ブラウズリンクをクリックし、ファイル選択画面を使用してシステム上のファイルに移動します。
  2. Continue をクリックして、ドメインで TLS を有効化するための最終ステップに移動します。
  3. 有効化するドメインの横にあるチェックボックスを選択します。
  4. Select a TLS Configuration の選択メニューから、適用する TLS 設定を選択します。この設定では、証明書がデプロイされる IP と、適用される関連する TLS 設定の両方を定義します。デフォルトオプションは HTTP/3 & TLS v1.3 +0RTT (t.sni) です。
  5. Activate をクリックします。

追加ドメインの保護

最初のドメインに対して TLS を設定した後、追加の TLS 証明書と秘密鍵をアップロードして他のドメインで TLS を有効化することができます。

秘密鍵と証明書のアップロード

TLS 証明書と関連する秘密鍵をアップロードするには、以下の手順に従ってください。

重要

キーファイルアップロードツールでは、現在256ビットまたは384ビットの ECDSA キーまたは2048ビットの RSA キーのみを使用できます。

  1. Self-managed certificates タブを選択します。

  2. アップロードキーまたは証明書メニューから、Add a new key or certificate を選択します。

    新しいキーと証明書ページを追加します

  3. 新しい証明書に対して新しいキーの生成をお勧めします。キーファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。または、ブラウズリンクをクリックしてファイルピッカーを使用してシステム上のファイルに移動します。複数の秘密鍵が存在する場合、固有の SHA1 ハッシュでそれぞれを識別することができます。

  4. 証明書ファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。または、ブラウズリンクをクリックし、ファイル選択画面を使用してシステム上のファイルに移動します。

  5. Submit をクリックします。証明書詳細ページが表示されます。

証明書ファイルをアップロードすると、ドメインで TLS を有効化することができます。

ドメインでの TLS の有効化

有効な証明書と秘密鍵がアップロードされると、SAN エントリーとして表示されるすべてのドメインが、TLS 準備完了ステータスと共にドメインページに表示されます。証明書を使用して、HTTPS トラフィックを提供するには、以下の手順に従ってドメインの TLS を有効化し、DNS レコードを証明書の場所にポイントしてください。

  1. Domains をクリックします。

  2. TLS を有効化する証明書が付いているドメインのカードを見つけます。無効状態の証明書は Ready to activate のステータスを持ちます。

  3. 有効化したい証明書の右側にある AddTLS activation をクリックします。

  4. 適用する TLS 設定を選択します。ドメイン上の別の証明書に対して設定がすでに有効になっている場合、通知が表示されます。続行するには、Switch to this certificate をクリックする必要があります。

    お客様の TLS 証明書が Fastly のエッジネットワーク全体に展開されます。証明書が世界中で利用可能になるには、最大1時間かかる場合があります。

  5. View details をクリックしてドメインの DNS 詳細を表示します。これらの詳細を使用して DNS レコードを設定して証明書を使用して TLS 接続を確立することができます。

    • Apex ドメイン (例: example.com) で TLS を使用する場合、DNS プロバイダーで A レコードを作成する必要があります。
    • サブドメインやワイルドカードドメイン (例: www.example.com または *.example.com) の場合は、関連する CNAME レコードを作成する必要があります。
重要

新しい DNS レコードがインターネット全体に伝搬するには、最大48時間かかる場合があります。

TLS 構成をドメインに適用する

TLS 設定には、サポートする TLS と HTTP のバージョンに加え、クライアントが使用するネットワークやハンドシェイクのオプションに関する一連の情報が含まれます。アカウントに複数の TLS 設定がある場合、デフォルトの設定表示エリアの右上に「Default」と表示されます。

デフォルト構成が構成カードの右上隅にデフォルトとしてマークされた TLS 設定タブの構成リスト

ヒント

TLS 設定の名前は、名前の横にあるペンのアイコンをクリックして編集できます。

ドメインに適用されているデフォルトの TLS 設定をオーバーライドしたり、ドメインが別の設定を利用できるようにするには、以下の手順に従ってください。

  1. Domains をクリックします。
  2. 追加の TLS 有効化を追加する証明書が付いているドメインのカードを見つけます。
  3. 追加の有効化を追加する証明書の横にある View details をクリックします。
  4. Add TLS activation をクリックします。
  5. 証明書に適用する TLS 設定を選択します。
注意

特定のドメインに複数の証明書を持つことができますが、特定の TLS 設定に対して有効化できる証明書は1つだけです。TLS 設定が、別の証明書ですでに使用されている場合、Switch to this certificate ボタンが表示されます。

いったん設定が選択されたら、TSL 設定がドメインに適用されます。各 TLS 設定は有効化され、それぞれ の IP アドレスと DNS レコード経由でアクセスすることができます。

  1. View details をクリックし、その情報を使用して DNS レコードを構成し、証明書を使用して TLS 接続を確立できるようにします。
  2. 新しい DNS レコードが反映されたことが確認できたら (反映には最大で48時間かかります)、ゴミ箱をクリックし、古い TLS 設定を削除してください。
注意

HTTP/1.1 については、コントロールパネルで各ドメインの TLS を有効化してください。複数の SAN を持つ証明書をアップロードした場合、Fastly でこれらのドメインを保護するには、各ドメインで TLS を明示的に有効にする必要があります。

HTTP/2 の場合、ブラウザがセキュアな接続を統合し、以前のハンドシェイクで TLS 証明書を受け取っていた場合は、例外が適用されることがあります。この場合、その証明書に一致する SAN エントリがある場合、一部のブラウザでは既存のセキュア接続を Fastly に再使用することがあります。

証明書の更新

Fastly では、証明書をいつでも新しい証明書に置き換え、更新することができます。更新と置換が必要な証明書の識別に役立つため、TLS 証明書ページの証明書カードに以下の警告が表示されます。

  • Expiring:証明書が有効期限に近づいていることを示します。
  • Expired:れ:証明書が有効期限を過ぎていることを示します。
  • Replace:Fastlyが更新と置き換えることを推奨する証明書を示します。

削除されたドメインがない場合の証明書の更新

TLS 証明書を、元の証明書と同じドメインをすべて含む(スーパーセットまたはマッチングリストのいずれかとして)証明書に置き換えて更新するには、次の手順に従います。

  1. 新しい証明書を任意の認証局から生成します。
  2. Self-managed certificates タブを選択します。
  3. 交換する証明書のカードを見つけます。
  4. 証明書カードの右上にある Replace という単語をクリックします。
  5. 交換証明書ファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。選択した新しい証明書は PEM 形式で、既存の証明書のすべての SAN エントリーが含まれている (完全に一致するリスト、またはスーパーセットが含まれている) 必要があります。または、ブラウズリンクをクリックしてファイルピッカーを使用してシステム上のファイルに移動します。
  6. 新しい証明書で新しいキーが生成された場合、キーファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。または、ブラウズリンクをクリックし、ファイル選択画面を使用してシステム上のファイルに移動します。
  7. ドラッグアンドドロップエリアの下にある証明書交換メニューが事前に選択されている証明書と新しい証明書に交換するかどうかを確認します。
  8. Submit をクリックします。

古い証明書を使用して配信していたすべてのドメインの TLS トラフィックが自動的に数分以内に更新した新しい証明書を使用して配信されるようになります。ドメインで TLS を有効化するステップに従って、新しいドメインはすべて手動で有効化する必要があります。

ドメインに変更がある場合の証明書の更新

ドメインの削除を必要とする証明書を更新する場合は、SAN エントリーのリストを更新した新しい証明書を入手する必要があります。以下の手順に従って、この証明書を新しい証明書としてアップロードします。

  1. 新しい証明書をアップロードします。
  2. Domains タブをクリックして、置き換える証明書ですでに有効化されている、以前の既存のドメインを探します。
  3. 追加の有効化を追加する証明書の横にある View details をクリックします。
  4. Add TLS activation ボタンをクリックします。
  5. 証明書に適用する TLS 設定を選択します。いったん設定が選択されたら、TSL 設定がドメインに適用されます。各 TLS 設定は有効化され、それぞれの IP アドレスと DNS レコード経由でアクセスすることができます。
  6. 古い証明書を削除します。

新たに有効化されたドメインの証明書は、Fastly のグローバルネットワーク全体にデプロイするのに5分から1時間かかる場合があります。新しい証明書が1時間経過しても有効にならない場合には、サポートチームにご連絡ください

TSL の無効化と証明書および秘密鍵の削除

TLS が有効化されているドメインは、TLS domains ページに表示される TLSを無効化するリンクで TLS を無効にすることができます。複数の証明書を持っている場合、Add/Edit Activations をクリックし、有効な設定の横にあるDeactivate ボタンをクリックすることで、特定の証明書を無効化することができます。すべての証明書が無効化されると、Fastly は選択されたドメインで TLS トラフィックを提供できなくなり、無効になります。

セルフマネージド証明書ページから証明書を削除する場合は、必ずその証明書に含まれるすべてのドメインの TLS 設定を無効にしてください。また、秘密鍵を削除する場合は、対応するすべての証明書がすでに削除されている必要があります。秘密鍵は、一致する TLS 証明書がない場合にのみ削除することができます。

証明書期限切れ

証明書の有効期限が残り30日になると、コントロールパネルに期限切れ間近の証明書に関する警告が表示されます。Fastly はまた、すべてのスーパーユーザーに対して自動有効期限切れ通知メールを定期的に送信します。証明書を置き換える、または削除しない限り、証明書の期限が切れるまで繰り返しメールが送信されます。証明書の有効期限が切れると、Fastly は期限切れに関する自動通知メールを送信しません。


翻訳についての注意事項
このガイドは役に立ちましたか?

このフォームを使用して機密性の高い情報を送信しないでください。サポートが必要な場合は、サポートチームまでご連絡ください。このフォームは reCAPTCHA によって保護されており、Google のプライバシーポリシー利用規約が適用されます。