相互 TLS 認証の設定

相互 TLS (mTLS) は、既存の TLS 製品上に追加される、ネットワーク接続セキュリティの追加レイヤーです。デフォルトの TLS プロトコルでは、サーバーからクライアントに対してのみ、信頼できる証明書を提示する必要があります。mTLS では、クライアントからもサーバーに対して信頼できる証明書を提示する必要があります。パスワードや API キーなど従来の認証方法に依存する代わりに、サーバーとクライアント間の接続は TLS 証明書を使用して保護されます。

前提条件

mTLS を使用するには、以下の前提条件を満たしている必要があります。

• Fastly サービスの契約を伴う有料アカウント。
• 有効なドメイン、関連ドメインが追加された TLS 設定および TLS 証明書で構成される既存の TLS 有効化。Fastly マネージド、またはセルフマネージドのいずれかの証明書をご利用いただけます。
• 認証局 (CA) によって認証済みの証明書が1つ以上含まれる .pem ファイル。このファイルは、接続に関してクライアント証明書を検証するための信頼チェーンとして使用されます。

初めての mTLS の設定

相互 TLS 認証の設定では、mTLS 証明書をアップロードし、mTLS を強制するドメインを定義します。

mTLS を適用するには:

1. Fastly コントロールパネルにログインし、Secure リンクをクリックします。Secure ページでは、Fastly のセキュリティ製品の概要が表示されます。
2. Manage certificates をクリックします。
3. Mutual TLS タブをクリックします。
4. ドラッグ＆ドロップエリアに証明書ファイルをドラッグ＆ドロップして、証明書ファイルをアップロードします。または、Browse for certificate file をクリックし、ファイル選択画面を使用してシステム上のファイルを選択します。Mutual TLS 証明書の詳細ページが表示されます。
   ヒント

   複数の証明書を使用している場合、1つの証明書ファイルに統合してください。

5. Mutual TLS certificate name フィールドに、コントロールパネルで証明書を簡単に識別するために使用される名前を入力します。
6. mTLS を強制するために、Require mTLS チェックボックスは選択したままの状態にして、mTLS 認証が成功した場合にのみ接続を許可します。チェックボックスの選択を解除すると、mTLS 認証が失敗した場合でも接続を進めることができます。
7. Save and next をクリックし、続行します。
8. Add domains メニューから、mTLS を適用するアクティブなドメインを選択します。検索ボックスを使用して、名前、証明書、または TLS 設定に基づいてドメインを検索することができます。
9. Done をクリックします。Mutual TLS ページに新しい mTLS 設定のカードが追加されます。

追加の mTLS 証明書のアップロード

追加の mTLS 証明書をアップロードして、ドメインに相互 TLS 認証を適用することができます。

追加の証明書をアップロードするには、以下の手順に従ってください。

1. Fastly コントロールパネルにログインし、Secure リンクをクリックします。Secure ページでは、Fastly のセキュリティ製品の概要が表示されます。
2. Manage certificates をクリックします。
3. Mutual TLS タブをクリックします。
4. Upload mutual TLS certificate をクリックします。
5. ファイル選択画面を使用して、システム上のファイルに移動します。Mutual TLS 証明書の詳細ページが表示されます。
6. Mutual TLS certificate name フィールドに、コントロールパネルで証明書を簡単に識別するために使用される名前を入力します。
7. mTLS を強制するために、Require mTLS チェックボックスは選択したままの状態にして、mTLS 認証が成功した場合にのみ接続を許可します。チェックボックスの選択を解除すると、mTLS 認証が失敗した場合でも接続を進めることができます。
8. Save and next をクリックし、続行します。
9. Add domains メニューから、mTLS を適用するアクティブなドメインを選択します。検索ボックスを使用して、名前、証明書、または TLS 設定に基づいてドメインを検索することができます。
10. Done をクリックします。Mutual TLS ページに新しい mTLS 設定のカードが追加されます。

ドメインの追加と削除

mTLS certificate details ページから、mTLS が強制されるドメインを編集することができます。

ドメインを追加するには、以下の手順に従ってください。

1. Fastly コントロールパネルにログインし、Secure リンクをクリックします。Secure ページでは、Fastly のセキュリティ製品の概要が表示されます。
2. Manage certificates をクリックします。
3. Mutual TLS タブをクリックします。
4. View certificate details をクリックします。
5. Add domains メニューから、mTLS を適用するアクティブなドメインを選択します。検索ボックスを使用して、名前、証明書、または TLS 設定に基づいてドメインを検索することができます。
6. Done をクリックして変更を保存します。

ドメインを削除するには、以下の手順に従ってください。

1. Fastly コントロールパネルにログインし、Secure リンクをクリックします。Secure ページでは、Fastly のセキュリティ製品の概要が表示されます。
2. Manage certificates をクリックします。
3. Mutual TLS タブをクリックします。
4. View certificate details をクリックします。
5. 削除したいドメインの横にあるゴミ箱をクリックします。
6. Done をクリックして変更を保存します。

Mutual TLS 証明書の詳細の編集

mTLS certificate details ページから、認証名と mTLS 強制オプションを編集することができます。

1. Fastly コントロールパネルにログインし、Secure リンクをクリックします。Secure ページでは、Fastly のセキュリティ製品の概要が表示されます。
2. Manage certificates をクリックします。
3. Mutual TLS タブをクリックします。
4. View certificate details をクリックします。
5. Back to certificate settings をクリックします。
6. Mutual TLS certificate name フィールドに、コントロールパネルで証明書を簡単に識別するために使用される名前を入力します。
7. Require mTLS チェックボックスを使用して、mTLS を強制するかどうかを特定します。選択した場合、mTLS 認証が成功した場合にのみ接続が許可されます。選択しなかった場合、mTLS 認証が失敗しても接続が続行されます。

mTLS 証明書の交換

Mutual TLS ページから、mTLS に使用される証明書を交換することができます。

証明書を交換するには、以下の手順に従ってください。

1. Fastly コントロールパネルにログインし、Secure リンクをクリックします。Secure ページでは、Fastly のセキュリティ製品の概要が表示されます。
2. Manage certificates をクリックします。
3. Mutual TLS タブをクリックします。
4. 更新したい mTLS 設定のカードにある Replace をクリックします。
5. ドラッグ＆ドロップエリアに証明書ファイルをドラッグ＆ドロップして、証明書ファイルをアップロードします。または、Browse for certificate をクリックし、ファイル選択画面を使用してシステム上のファイルを選択します。
6. Submit をクリックして設定を保存します。

mTLS 認証の削除

mTLS 設定を削除するには、相互認証にアクティブなドメインがないことを確認する必要があります。アクティブなドメインがある場合は、続行する前に、設定を編集してアクティブなドメインを削除します。

mTLS 設定を削除するには、以下の手順に従ってください。

1. Fastly コントロールパネルにログインし、Secure リンクをクリックします。Secure ページでは、Fastly のセキュリティ製品の概要が表示されます。
2. Manage certificates をクリックします。
3. Mutual TLS タブをクリックします。
4. 更新したい mTLS 設定のカードにあるゴミ箱をクリックします。
5. 相互認証を削除したいことを確認してから、Delete をクリックします。