お客様が管理する証明書を使用して HTTPS で配信する

このガイドでは、Fastly TLS プロダクトを使用して、Fastly コントロールパネルでお客様の TLS 証明書とプライベートキーをアップロードし、デプロイする方法について説明します。

HTTPS を使用して Fastly から安全なトラフィックを配信するため、Web サイトやアプリケーションは、信頼できる認証局 (CA) によって署名された有効な TLS 証明書をクライアントに提供する必要があります。TLS (トランスポートレベルセキュリティ) とその前身の SSL (セキュアソケットレイヤー) を利用することで、クライアントは安全なサーバー接続を通じて HTTPS によってトラフィックを配信することができます。

設定前の注意点

コントロールパネル経由でアップロードし、デプロイした証明書と秘密鍵で Fastly TLS を使用する前に、以下の前提条件が満たされていることをご確認ください。

• スーパーユーザーの役割、または TLS 管理権限が追加されたユーザーの役割が割り当てられた有料 Fastly ユーザーアカウント (開発者のトライアル以外)
• 信頼できる認証局によって発行された有効な X.509 TLS 証明書と対応する 2048-bit RSA 秘密鍵
• TLS 証明書に SAN (サブジェクト代替名) エントリーとして表示される関連ドメインの DNS レコードを変更する権限を有すること
• 適切に構成された Fastly サービスに追加された関連ドメイン

Fastly TLS の互換のコントロールパネルは、お客様 TLS 証明書のホスティングサービスでアップロードされた証明書においてもご利用いただけますが以下の制約事項にご注意下さい。

• 過去にアップロードした証明書を更新する場合、請求書は変更されずに、顧客が提供した TLS 証明書ホスティングサービスを継続して利用することができます。
• 以前にアップロードした証明書をお客様提供の TLS 証明書ホスティングサービスから削除し、Fastly TLS を使用して新しい証明書をアップロードすると、新しい証明書は Fastly TLS の請求として課金されます。削除された証明書については、お客様 TLS 証明書ホスティングサービスのご契約内容に応じてご契約期間が完了するまで課金が発生します。

お客様 TLS 証明書ホスティングサービスから Fastly TLS への移行については、support@fastly.com までお問い合わせください。

これらの前提条件に加えて以下の制約事項についてもご了承下さい。

• デフォルトの設定ではアップロードされた証明書を利用するクライアントが TLSv1.2 と Server Name Indication (SNI) をサポートする必要があります。これら以外の設定をご希望の場合は、sales@fastly.com までお問い合わせください。カスタム設定を使用する場合は、専用の Fastly IP アドレスプールを別途ご購入頂く必要があります。
• Fastly TLS は、Triple DES (3des) 暗号スイートをサポートしていません。
• DigiCert をご利用の場合、証明書を変更すると、DigiCert は再発行の72時間後に元の証明書を無効化しますのでご注意ください。速やかに新しい証明書をアップロードし、すべてのホスト名を切り替えてください。

秘密鍵と証明書のアップロード

TLS 証明書とそれに対応する (証明書の生成に使用された) 秘密鍵をアップロードするには、以下の手順に従ってください。

1. Fastly コントロールパネルにログインし、Secure リンクをクリックします。Secure ページでは、Fastly のセキュリティ製品の概要が表示されます。
2. Manage certificates ボタンをクリックします。TLS domains ページが表示され、TLS が有効化された、または有効化可能なドメインが表示されます。まだどのドメインにも TLS を設定していない場合、このページには何も表示されません。

3. Secure another domain ボタンをクリックします。Enter domain 設定画面が表示されます。

4. I want to bring my own certificate and private key をクリックします。TLS certificates タブに移動すると、セキュアなアップロード機能が表示されます。

5. 秘密鍵を指定エリアにドラッグアンドドロップしてアップロードします。または、Browse for key file をクリックし、ファイル選択画面を使用してアップロードすることもできます。

   アップロード機能の下に秘密鍵が表示され、左には Unmatched key ラベルが表示されます。

   

   ヒント

   Unmatched keys ラベルは、対応する TLS 証明書が存在しない秘密鍵に表示されます。複数の秘密鍵が存在する場合、固有の SHA1 ハッシュでそれぞれを識別することができます。Unmatched ステータスの秘密鍵のみ削除することができます。

6. 秘密鍵の場合と同様に、TLS 証明書をドラッグアンドドロップするか、またはファイル選択画面を使用してアップロードして下さい。正しくアップロードするとメッセージが表示されます。

ドメインでの TLS の有効化

有効な証明書と秘密鍵がアップロードされると、SAN エントリーとして表示されるすべてのドメインが、TLS ready のステータスで TLS domains ページに表示されます。証明書を使用して、HTTPS トラフィックを提供するには、以下の手順に従ってドメインの TLS を有効化し、DNS レコードを証明書の場所にポイントしてください。

1. TLS domains タブをクリックします。SAN エントリーとして表示されるすべてのドメインのリストが表示されます。無効化されている状態のドメインは、Ready to activateの状態と表示されます。

2. TLS を有効化するドメインのカードを探します。

3. 有効化する証明書の右側にあるActivate this certificate ボタンをクリックします。DNS の詳細が表示されます。

   お客様の TLS 証明書が Fastly のエッジネットワーク全体に展開されます。証明書が世界中で利用可能になるには、最大1時間かかる場合があります。

4. 証明書を使用して TLS 接続を確立できるよう、このセクションで表示される DNS の詳細に基づいて DNS レコードを設定します。

   

   • 頂点ドメイン（例：1example.com）で TLS を使用する場合、DNSプロバイダーでAレコードを作成する必要があります。
   • サブドメインやワイルドカードドメイン (例： www.example.comまたは *.example.com) の場合は、関連する CNAME レコードを作成する必要があります。

TLS 構成をドメインに適用する

TLS 設定には、サポートする TLS と HTTP のバージョンに加え、クライアントが使用するネットワークやハンドシェイクのオプションに関する一連の情報が含まれます。アカウントに複数の TLS 設定がある場合、デフォルトの設定表示エリアの右上に「Default」と表示されます。

ドメインに適用されているデフォルトの TLS 設定をオーバーライドしたり、ドメインが別の設定を利用できるようにするには、以下の手順に従ってください。

1. TLS domains タブをクリックします。

2. 設定を変更するドメインのカードを探します。

3. 修正したい証明書の横にある View/Edit Activations ボタンをクリックします。TLS 設定の一覧を表示します。

4. 有効化する設定の横にあるActive をクリックします。

   注意

   特定のドメインに複数の証明書を持つことができますが、特定の TLS 設定に対して有効化できる証明書は1つだけです。TLS 設定が、別の証明書ですでに使用されている場合、この証明書に切り替える ボタンが表示されます。

   

   いったん設定が選択されたら、TSL 設定がドメインに適用されます。各 TLS 設定は有効化され、それぞれ の IP アドレスと DNS レコード経由でアクセスすることができます。

5. 証明書を使用して TLS 接続を確立できるよう、このセクションで表示される DNS の詳細に基づいて DNS レコードを設定します。

6. 新しい DNS レコードが反映されたことが確認できたら (最大で48時間かかります)、ゴミ箱のアイコンをクリックし、古い TLS 設定を削除してください。

証明書の更新

証明書の有効期限が近付くと、TLS 証明書のページに警告が表示されます：

または証明書が有効期限を過ぎたとき：

Fastlyが、更新され、置き換えられるべき証明書を特定する場合があります。これらの証明書には、置き換えを推奨するメッセージと「Replace」ボタンが表示されます。

Fastly では、証明書をいつでも新しい証明書に置き換え、更新することができます。

削除されたドメインがない場合の証明書の更新

TLS 証明書を、元の証明書と同じドメインをすべて含む（スーパーセットまたはマッチングリストのいずれかとして）証明書に置き換えて更新するには、次の手順に従います。

1. 新しい証明書を任意の認証局から生成します。

2. 新しい証明書で新しい鍵が生成された場合、新しい鍵または証明書をアップロードするボタンをクリックして、それをアップロードします。

3. コントロールパネルの TLS certificates タブで、置き換える証明書を探します。

4. 置き換える証明書の右上に表示される Update ボタンをクリックします。

   

5. 表示されたファイル選択画面で、既存の証明書を置き換える新しい証明書を探します。選択した新しい証明書は PEM 形式で、既存の証明書のすべての SAN エントリーが含まれている (完全に一致するリスト、またはスーパーセットが含まれている) 必要があります。

6. 証明書の更新処理が完了するのを待ちます。証明書が正常に更新されたことを示すメッセージが表示されます。

   

古い証明書を使用して配信していたすべてのドメインの TLS トラフィックが自動的に数分以内に更新した新しい証明書を使用して配信されるようになります。ドメインで TLS を有効化するステップに従って、新しいドメインはすべて手動で有効化する必要があります。

ドメインに変更がある場合の証明書の更新

ドメインの削除を必要とする証明書を更新する場合は、SAN エントリーのリストを更新した新しい証明書を入手する必要があります。以下の手順に従って、この証明書を新しい証明書としてアップロードします。

1. 新しい証明書をアップロードします。

2. TSL ドメインタブをクリックして、置き換える証明書ですでに有効化されている、以前の既存のドメインを探します。

3. ドメインカードの適切な証明書の横にあるView/Edit Activations をクリックして、有効なTSLを確認します。

4. 表示される設定のリストから、適用したい設定の横にある、この証明書に切り替えるボタンをクリックします。

   

5. Done をクリックします。

6. 古い証明書を削除します。

7. ドメインで TLS を有効化するステップに従って、更新済み証明書に追加された新しいドメインを手動で有効化します。新たに有効化されたドメインの証明書は、Fastly のグローバルネットワーク全体にデプロイするのに5分から1時間かかる場合があります。1時間経過しても新しい証明書で TLS トラフィックが配信されない場合は、support@fastly.com までご連絡ください。

TSL の無効化と証明書および秘密鍵の削除

TLS が有効化されているドメインは、TLS domains ページに表示される TLSを無効化するリンクで TLS を無効にすることができます。複数の証明書を持っている場合、Add/Edit Activations をクリックし、有効な設定の横にあるDeactivate ボタンをクリックすることで、特定の証明書を無効化することができます。すべての証明書が無効化されている場合は、Fastly は選択されたドメインでTLSトラフィックを提供せず、それは無効になります。

TLS certificates ページから証明書を削除する場合は、必ずその証明書に含まれるすべてのドメインの TLS 設定を無効にします。また、秘密鍵を削除する場合は、対応するすべての証明書がすでに削除されている必要があります。

証明書期限切れ

証明書の有効期限が残り30日になると、コントロールパネルに期限切れ間近の証明書に関する警告が表示されます。Fastlyはまた、すべてのスーパーユーザーに自動有効期限切れ通知メールを定期的に送信します。証明書を置き換える、または削除しない限り、証明書の期限が切れるまで繰り返しメールが送信されます。証明書の有効期限が切れると、Fastly は期限切れに関する自動通知メールを送信しません。