HTTPS を利用して Fastly から安全にトラフィックを配信するため、Web サイトやアプリケーションは、信頼済み認証局によって署名された有効な TLS 証明書をクライアントに提供する必要があります。TLS (Transport Level Security) とその前身である SSL (Secure Sockets Layer) はクライアントがサーバーとセキュアな接続を確立し、トラフィックを HTTPS で配信することを可能にするプロトコルです。

ヒント: Fastly は秘密鍵や証明書をアップロードしたり管理するための API も提供しています。

作業を始める前に

コントロールパネル経由でアップロードし展開した証明書と秘密鍵を Fastly TLS で利用するには以下が必要となります:

有料アカウント配下のスーパーユーザーまたは TLS 管理権限を持つユーザーアカウント。（無料の開発者アカウントでは本機能は利用できません）
信頼された認証局より発行された有効な X.509 TLS 証明書と対応する 2048-bit RSA 秘密鍵
TLS 証明書に SAN エントリーとして登録される関連ドメインに関する DNS レコードの変更権限
関連するドメインの Fastly サービスへの登録

Fastly TLS のコントロールパネルはお客様 TLS 証明書のホスティングサービスとしてアップロードされた証明書においてもご利用いただけますが以下の制約にご注意下さい。

お客様 TLS 証明書ホスティングサービスの証明書としてアップロードされた証明書を置き換えた場合、証明書は継続してお客様 TLS 証明書ホスティングサービスとして扱われ請求に変更はありません。
お客様 TLS 証明書ホスティングサービスを利用してアップロードされた証明書を削除し、新たに Fastly TLS のコントロールパネルを利用して証明書をアップロードした場合、新しい証明書は Fastly TLS の請求対象となります。削除されたお客様 TLS 証明書ホスティングサービスについてもご契約内容に応じてご契約期間が完了するまで課金が発生します。

お客様 TLS 証明書ホスティングサービスから Fastly TLS への移行については support@fastlycom までご連絡下さい。

これらの利用条件に加えて以下の制約事項についてもご了承下さい。

Fastly TLS で利用可能な証明書の数の上限は50となっています。上限を超えた証明書のご利用をご希望の場合は japan@fastly.com までご連絡下さい。
デフォルトの設定ではアップロードされた証明書を利用するクライアントは TLSv1.2 と Server Name Indication (SNI) のサポートが必要となります。デフォルト以外の設定での利用をご希望の場合は japan@fastly.com までご相談下さい。カスタムセッティングを設定するためには専用 IP などのオプション機能を別途ご購入頂く必要がある可能性があります。
Fastly TLS は Triple DES (3des) 暗号スイートをサポートしません。
DigiCert をご利用の場合、DigiCert は証明書を再発行後72時間で既存の証明書を無効化する点にご注意下さい。新証明書の発行後には出来るだけ早く新しい証明書に変更するようにして下さい。

秘密鍵と証明書をアップロードする

TLS 証明書と対応する（証明書を作成するために使われた）秘密鍵をアップロードする手順は以下の通りです。

重要: 本ツールでアップロード可能な鍵は 2048-bit RSA 鍵のみとなります。より長い鍵長の鍵をアップロードする必要がある場合、 japan@fastly.com までご連絡下さい。

Fastly コントロールパネルにログインし、Configure のリンクをクリックします。
HTTPS and network をクリックして下さい。TLS domains ページが表示されます。このページには既に TLS が有効化されているドメインと、有効化することが可能なドメインが表示されます。TLS の設定を開始していない場合、このページには何も表示されません。
Secure another domain ボタンをクリックして下さい。Enter domain ウインドウが表示されます。
I want to bring my own certificate and private key リンクをクリックして下さい。TLS certificates タブに移動し、アップロード用 UI が表示されます。
秘密鍵をドラッグアンドドロップするか、 BROWSE FOR FILES をクリックしファイルを選択してアップロードして下さい。アップロード UI の下に秘密鍵が Unmatched key ラベルが左側に付与された状態で表示されます。

ヒント: Unmatched keys ラベルは対応する TLS 証明書が存在しない秘密鍵に表示されます。複数の秘密鍵が存在する場合、SHA1 ハッシュから鍵を識別することが出来ます。秘密鍵は Unmatched 状態のもののみ削除することが出来ます。
TLS 証明書を秘密鍵と同様にドラッグアンドドロップするか BROWSE FOR FILES からアップロードして下さい。正しく終了するとメッセージが表示されます。

ドメインに TLS を有効化する

有効な証明書と秘密鍵がアップロードされると、SAN エントリーに含まれるすべてのドメインが TLS domains ページに TLS ready ステータスで表示されます。この証明書を利用して HTTPS での配信を行うためには、以下の手順で該当ドメインに TLS を有効化し、DNS Details で指定された情報に従って DNS レコードを設定して下さい。

TLS domains をクリックして下さい。SAN エントリーに含まれるすべてのドメインがリストで表示されます。無効状態のドメインは TLS ready ステータスとして表示されます。
有効化したいドメインの右側の Enable TLS ボタンをクリックして下さい。TLS 証明書が Fastly ネットワーク全体に展開されます。最大1時間程度で証明書は利用可能になります。
ドメインに関連付けられた　TLS 設定の詳細を確認するには More details をクリックして下さい。ドメインの TLS 設定の詳細が表示されます。
証明書を利用して TLS コネクションを利用可能にするには、DNS details に記載されている内容に基づいて対象ドメインの DNS レコードを設定して下さい。
- Apex ドメイン (例えば example.com) 向けに TLS 証明書を利用する場合、ご利用の DNS プロバイダーに複数の A レコードを設定して下さい。
- サブドメインやワイルドカードドメイン(例えば www.example.com や *.example.com) の場合、対応する CNAME レコードを設定をして下さい。

重要: 更新した DNS 情報がインターネット全体に展開するには最大48時間程度かかる場合があります。

ドメインに TLS 設定を適用する

TLS 設定はサポートする TLS と HTTP のバージョンとクライアントが利用するネットワークやハンドシェイクに関する一連の情報を含みます。アカウントに複数の TLS 設定が存在する場合、デフォルトの TLS 設定表示領域の右上に default ラベルが表示されます。

the list of configurations on the TLS configurations tab with the default configuration marked as default in the upper right corner of the configuration card

ヒント: TLS 設定の名前は右側にあるペンのアイコンをクリックすることで変更することが出来ます。

ドメインに適用されているデフォルトの TLS 設定を上書きしたい場合やドメインが別の設定を利用できるようにするためには、次の手順を実行してください。

TLS domains タブをクリックして下さい。
変更を行いたいドメインの More details リンクをクリックして下さい。
ドメイン設定の下部に表示されている Add TLS configuration メニューから適用したい TLS 設定を選択して下さい。

TLS 設定を選択すると選択した設定が該当のドメインに適用されます。TLS 設定はそれぞれ IP アドレスまたは DNS レコード経由でアクセスすることが出来ます。
ご希望の TLS 設定配下に表示されている DNS details を参照し、対象ドメインの DNS レコードを更新して下さい。
新しく設定した DNS レコードがインターネット上に反映されたことを確認した後に、変更前の古い TLS 設定を右上のゴミ箱のアイコンをクリックして削除して下さい。DNS レコードの反映には最大48時間程度かかる場合があります。

証明書の置き換え

TLS certificates ページには証明書の有効期限が近づくと注意メッセージが表示されます。

a certificate that is nearing expiration

Fastly が置き換えられるべき証明書を確認した場合、replace ラベルが表示されます。

a certificate needing replacement

証明書は証明書の残期間に関わらずいつでも置き換えることが出来ます。

削除されるドメインがない場合の証明書の置き換え

新しい TLS 証明書に既存の証明書に含まれるすべてのドメインが含まれる(新証明書が既存証明書にあるすべてのドメインを包含もしくは完全一致している)場合、次の手順で証明書を置き換えることが出来ます。

新しい証明書を任意の証明局で発行して下さい。
新しい証明書のために新しい秘密鍵も生成した場合は、新しい秘密鍵をアップロードして下さい。
TLS certificates タブ配下に表示されている変更したい証明書を確認して下さい。

対象の証明書の右上に表示されている置き換えアイコンをクリックして下さい。
ファイル選択ウインドウが表示されるので、新しい証明書を選択して下さい。証明書は PEM 形式で、古い証明書に含まれていた SAN ドメインすべてが新証明書にも含まれている必要があります。
証明書のアップロードが完了するまでお待ち下さい。証明書が正しくアップロードされると success メッセージが表示されます。

古い証明書を利用して配信されていたドメインの TLS トラフィックは数分以内にアップロードした新証明書を利用して配信されるようになります。新証明書で新規に追加されたドメインがある場合は、ドメインに TLS を有効化する必要があります。

削除されるドメインがある場合の証明書の置き換え

既存の証明書に含まれるドメインを削除したい場合、削除したいドメインを除く新しい SAN 証明書をご用意頂く必要があります。以下の手順で証明書を新規証明書としてアップロードして下さい。

新しい証明書をアップロードします。
TLS domains タブ配下から変更したい証明書で既に Enable になってドメインを確認して下さい。
対象ドメインの More details をクリックして下さい。適用されている TLS 設定が表示されます。
Certificate being used メニューから新しい証明書を選択して下さい。確認メッセージが表示されます。
Use this certificate ボタンをクリックして下さい。
ドメインに TLS を有効化するを参照して新証明書に追加されたドメインに対して TLS を有効化して下さい。新規に追加されたドメインの証明書が Fastly ネットワーク全体で有効になるには20分から1時間程度かかります。1時間経過しても有効化が完了しない場合は support@fastly.com までご連絡下さい。

ヒント: 証明書の表示名は、名前の横にあるペンのアイコンをクリックすることで変更することが出来ます。

TLS 無効化および証明書と秘密鍵の削除

TLS が有効なドメインは TLS domains ページの Disable TLS リンクから無効化することが出来ます。TLS が無効化されたドメインは TLS での配信は行われません。

TLS certificates ページから証明書を削除するには、該当の証明書に含まれるすべてのドメイン向けの TLS 設定が無効化されていることを確認して下さい。また、秘密鍵を削除するには対応する証明書がすべて削除されている必要があります。

証明書の有効期限

証明書の有効期限が残り30日になるとインターフェース上に注意メッセージが表示され、アカウントに登録されている TLS 管理権限を持つユーザーのメールアドレスに対して有効期限を通知するメッセージが定期的に送信されます。メールは証明書が置き換えられるか削除されるまで繰り返しメールを送信されます。証明書の有効期限が切れた後はメールの送信は行いません。

Additional resources:

Enabling HSTS through Fastly