相互 TLS 認証の設定

相互 TLS (mTLS) は、既存の TLS 製品上に追加される、ネットワーク接続セキュリティの追加レイヤーです。デフォルトの TLS プロトコルでは、サーバーからクライアントに対してのみ、信頼できる証明書を提示する必要があります。mTLS では、クライアントからもサーバーに対して信頼できる証明書を提示する必要があります。パスワードや API キーなど従来の認証方法に依存する代わりに、サーバーとクライアント間の接続は TLS 証明書を使用して保護されます。

前提条件

mTLS を使用するには、以下の前提条件を満たしている必要があります。

• Fastly サービスの契約を伴う有料アカウント。
• 有効なドメイン、関連ドメインが追加された TLS 設定および TLS 証明書で構成される既存の TLS 有効化。Fastly マネージド、またはセルフマネージドのいずれかの証明書をご利用いただけます。
• 認証局 (CA) によって認証済みの証明書が1つ以上含まれる .pem ファイル。このファイルは、接続に関してクライアント証明書を検証するための信頼チェーンとして使用されます。

重要な考慮事項

複数のルート証明書または中間証明書は、1つの証明書バンドル (PEM ファイル) に結合されている限り作成することができます。ただし、サーバーサイド証明書に複数の SANがある場合、標準の TLS 証明書から mTLS ドメインを分離することをお勧めします。それ以外にも、標準 TLS 接続を再利用し、mTLS をバイパスするブラウザもあります。

初めて mTLS を設定する

相互 TLS 認証の設定では、mTLS 証明書のアップロードと、mTLS で保護するドメインの定義を行います。ドメインへのすべてのリクエストに対して mTLS 接続を強制し、有効な証明書が提示されない場合に接続を拒否することができます。あるいは、mTLS 接続が成功するかどうかにかかわらず、接続を続行できるようにすることも可能です。 後者のオプションでは、mTLS で機密性の高い通信を保護しながら、非 mTLS 接続で機密性の低いデータを送信することができます。このような機能は、mTLS の使用に移行する際に便利です。

mTLS を適用するには以下の手順に従ってください。

1. Fastly コントロールパネルにログインします。

2. Security > TLS management > Mutual TLS に移動します。

3. ドラッグ＆ドロップエリアに証明書ファイルをドラッグ＆ドロップして、証明書ファイルをアップロードします。または、Browse for certificate file をクリックし、ファイル選択画面を使用してシステム上のファイルを選択します。相互 TLS 証明書の詳細ページが表示されます。

4. Mutual TLS certificate name フィールドに、Fastly コントロールパネルで証明書または証明書バンドルを簡単に識別するために使用される名前を入力します。

5. 以下のいずれかを実行します。

   • Require mTLS チェックボックスを選択したままの状態にすると、mTLS を強制し、mTLS 認証が成功した場合にのみ接続が許可されるようにします。
   • チェックボックスの選択を解除した場合、mTLS 認証が失敗した場合でも接続を進めるようになります。mTLS の使用に移行し、クライアント証明書なしで送信されたリクエストをログまたは追跡する必要がある場合に役立ちます。

6. Save and next をクリックし、続行します。

7. Add domains メニューから、mTLS を適用するアクティブなドメインを選択します。検索ボックスを使用して、名前、証明書、または TLS 設定に基づいてドメインを検索することができます。

8. Done をクリックします。Mutual TLS ページに新しい mTLS 設定のカードが追加されます。

追加の mTLS 証明書のアップロード

追加の mTLS 証明書をアップロードして、ドメインに相互 TLS 認証を適用することができます。

追加の証明書をアップロードするには、以下の手順に従ってください。

1. Fastly コントロールパネルにログインします。
2. Security > TLS management > Mutual TLS に移動します。
3. Upload mutual TLS certificate をクリックします。
4. ファイル選択画面を使用して、システム上のファイルに移動します。相互 TLS 証明書の詳細ページが表示されます。
5. Mutual TLS certificate name フィールドに、コントロールパネルで証明書を簡単に識別するために使用される名前を入力します。
6. Require mTLS チェックボックスは選択したままの状態にすると、mTLS を強制し、mTLS 認証が成功した場合にのみ接続を許可します。チェックボックスの選択を解除すると、mTLS 認証が失敗した場合でも接続を進めることができます。
7. Save and next をクリックし、続行します。
8. Add domains メニューから、mTLS を適用するアクティブなドメインを選択します。検索ボックスを使用して、名前、証明書、または TLS 設定に基づいてドメインを検索することができます。
9. Done をクリックします。Mutual TLS ページに新しい mTLS 設定のカードが追加されます。

ドメインの追加と削除

mTLS certificate details ページから、mTLS が強制されるドメインを編集することができます。

ドメインを追加するには、以下の手順に従ってください。

1. Fastly コントロールパネルにログインします。
2. Security > TLS management > Mutual TLS に移動します。
3. View certificate details をクリックします。
4. Add domains メニューから、mTLS を適用するアクティブなドメインを選択します。検索ボックスを使用して、名前、証明書、または TLS 設定に基づいてドメインを検索することができます。
5. Done をクリックして変更を保存します。

ドメインを削除するには、以下の手順に従ってください。

1. Fastly コントロールパネルにログインします。
2. Security > TLS management > Mutual TLS に移動します。
3. View certificate details をクリックします。
4. 削除したいドメインの横にあるゴミ箱アイコン をクリックします。
5. Done をクリックして変更を保存します。

相互 TLS 証明書の詳細の編集

mTLS certificate details ページから、認証名と mTLS 強制オプションを編集することができます。

1. Fastly コントロールパネルにログインします。
2. Security > TLS management > Mutual TLS に移動します。
3. View certificate details をクリックします。
4. Back to certificate settings をクリックします。
5. Mutual TLS certificate name フィールドに、コントロールパネルで証明書を簡単に識別するために使用される名前を入力します。
6. Require mTLS チェックボックスを使用して、mTLS を強制するかどうかを選択します。選択した場合、mTLS 認証が成功した場合にのみ接続が許可されます。選択しなかった場合、mTLS 認証が失敗しても接続が続行されます。

mTLS 証明書の交換

Mutual TLS ページから、mTLS に使用される証明書を交換することができます。

証明書を交換するには、以下の手順に従ってください。

1. Fastly コントロールパネルにログインします。
2. Security > TLS management > Mutual TLS に移動します。
3. 更新したい mTLS 設定のカードにある Replace をクリックします。
4. ドラッグ＆ドロップエリアに証明書ファイルをドラッグ＆ドロップして、証明書ファイルをアップロードします。または、Browse for certificate をクリックし、ファイル選択画面を使用してシステム上のファイルを選択します。
5. Submit をクリックして設定を保存します。

mTLS 認証の削除

mTLS 設定を削除するには、相互認証にアクティブなドメインがないことを確認する必要があります。アクティブなドメインがある場合は、続行する前に、設定を編集してアクティブなドメインを削除します。

mTLS 設定を削除するには、以下の手順に従ってください。

1. Fastly コントロールパネルにログインします。
2. Security > TLS management > Mutual TLS に移動します。
3. 更新したい mTLS 設定のカードにあるゴミ箱アイコン をクリックします。
4. 相互認証を削除したいことを確認してから、Delete をクリックします。