持ち込み証明書を使用して TLS を設定する

  最終更新日 2024-11-11

このガイドでは、Fastly TLS プロダクトを使用した、Fastly コントロールパネルでお客様の保有する TLS 証明書と秘密鍵のアップロードとデプロイを行う方法について説明します。

HTTPS (Hypertext Transfer Protocol Secure) を使用して Fastly から安全なトラフィックを配信するために、Webサイトやアプリケーションは、信頼できる認証局 (CA) によって署名された有効な TLS 証明書を提供する必要があります。TLS (トランスポートレベルセキュリティ) とその前身の SSL (セキュアソケットレイヤー) を利用することで、クライアントは安全なサーバー接続を通じて HTTPS を使ったトラフィックの配信が可能になります。

ヒント

Fastly では、Fastly 上のドメインの TLS を有効化するために使われる鍵や証明書をアップロードして管理する API を提供しています。

設定前の注意点

ドメイン向け TLS の設定

TLS を設定するには、TLS 証明書と一致する秘密鍵 (最初に証明書を生成する際に使用されます) をアップロードします。その後、ドメインに TLS 設定を適用し、ドメインで TLS を有効化します。

  1. 初回の設定
  2. 追加の証明書のアップロード

初めて TLS を設定する場合は、以下の手順に従ってください。

  1. Fastly コントロールパネルにログインし、Secure リンクをクリックします。Secure ページでは、Fastly のセキュリティ製品の概要が表示されます。
  2. Manage certificates をクリックします。
  3. Get started をクリックします。
  4. Upload my own private key and certificate をクリックして続行します。
  5. キーファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。または、ブラウズリンクをクリックし、ファイル選択画面からシステム上のファイルに移動します。キーが可視化され、成功メッセージが表示されます。
重要

キーファイルアップロードツールでは、現在 256 ビットまたは 384 ビットの ECDSA キーまたは 2048 ビットの RSA キーのみを使用できます。

  1. 証明書ファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。または、ブラウズリンクをクリックし、ファイル選択画面からシステム上のファイルに移動します。

  2. Continue をクリックして、ドメインで TLS を有効化するための最終ステップに移動します。

  3. 有効化するドメインの横にあるチェックボックスを選択します。

  4. Select a TLS Configuration メニューから、適用する TLS 設定を選択します。この設定では、証明書がデプロイされる IP と、適用される関連する TLS 設定の両方を定義します。デフォルトオプションは HTTP/3 & TLS v1.3 +0RTT (t.sni) です。

    Regional Routing をご購入いただいた場合、グローバル POP のリージョンのサブセット別に TLS 設定が表示され、Fastly からのトラフィック配信をその地域のみに制限することができます。いったん設定が選択されたら、TLS 設定がドメインに適用されます。各 TLS 設定は有効化され、それぞれ の IP アドレスと DNS レコード経由でアクセスすることができます。

  5. Activate をクリックします。

ドメインでの TLS の有効化

有効な証明書と秘密鍵がアップロードされると、SAN エントリーとして表示されるすべてのドメインがドメインページに表示され、ステータスが「TLS ready」となります。証明書を使用して、HTTPS トラフィックを提供するには、以下の手順に従ってドメインの TLS を有効化し、DNS レコードを証明書の場所にポイントしてください。

  1. Fastly コントロールパネルにログインします。

  2. Security > TLS management > Domains に移動します。

  3. TLS を有効化する証明書が付いているドメインのカードを見つけます。無効状態の証明書は Ready to activate のステータスを持ちます。

  4. 有効化したい証明書の右側にある Add TLS activation をクリックします。

  5. 適用する TLS 設定を選択します。ドメイン上の別の証明書に対して設定がすでに有効になっている場合、通知が表示されます。続行するには、Switch to this certificate をクリックする必要があります。

    Regional Routing をご購入いただいた場合、グローバル POP のリージョンのサブセット別に TLS 設定が表示され、Fastly からのトラフィック配信をその地域のみに制限することができます。TLS 設定を選択すると、Fastly は TLS 証明書を Fastly のエッジネットワーク全体にデプロイします。証明書が世界中で利用可能になるには、最大1時間かかる場合があります。

  6. View details をクリックしてドメインの DNS 詳細を表示します。証明書を使用して TLS 接続を確立できるよう、これらの詳細を使用して DNS レコードを設定します。

    • Apex ドメイン (例: example.com) で TLS を使用する場合、DNS プロバイダーで A レコードを作成する必要があります。
    • サブドメインやワイルドカードドメイン (例: www.example.com または *.example.com) の場合は、関連する CNAME レコードを作成する必要があります。
重要

新しい DNS レコードがインターネット全体に伝搬するには、最大48時間かかる場合があります。

TLS 設定をドメインに適用する

TLS 設定には、サポートする TLS と HTTP のバージョンに加え、クライアントが使用するネットワークやハンドシェイクのオプションに関する一連の情報が含まれます。アカウントに複数の TLS 設定がある場合、デフォルトの設定表示エリアの右上に「Default」と表示されます。

デフォルト構成が構成カードの右上隅に「Default」としてマークされた TLS 設定タブの構成リスト

ヒント

TLS 設定の名前は、名前の横にある鉛筆アイコン 鉛筆アイコン をクリックして編集できます。

ドメインに適用されているデフォルトの TLS 設定をオーバーライドしたり、ドメインが別の設定を利用できるようにするには、以下の手順に従ってください。

  1. Fastly コントロールパネルにログインします。

  2. Security > TLS management > Domains に移動します。

  3. 追加の TLS 有効化を追加する証明書が付いているドメインのカードを見つけます。

  4. 追加の有効化を追加する証明書の横にある View details をクリックします。

  5. Add TLS activation をクリックします。

  6. 証明書に適用する TLS 設定を選択します。ドメイン上の別の証明書に対して設定がすでに有効になっている場合、通知が表示されます。続行するには、Switch to this certificate をクリックする必要があります。

    Regional Routing をご購入いただいた場合、グローバル POP のリージョンのサブセット別に TLS 設定が表示され、Fastly からのトラフィック配信をその地域のみに制限することができます。いったん設定が選択されたら、TLS 設定がドメインに適用されます。各 TLS 設定は有効化され、それぞれの IP アドレスと DNS レコード経由でアクセスすることができます。

  7. View details をクリックし、その情報を使用して DNS レコードを構成し、証明書を使用して TLS 接続を確立できるようにします。

  8. 新しい DNS レコードが反映されたことが確認できたら (反映には最大で48時間かかります)、ゴミ箱アイコンをクリックし、古い TLS 設定を削除してください。

注意

HTTP/1.1 については、コントロールパネルで各ドメインの TLS を有効化してください。複数の SAN を持つ証明書をアップロードした場合、Fastly でこれらのドメインを保護するには、各ドメインで TLS を明示的に有効にする必要があります。

HTTP/2 の場合、ブラウザがセキュアな接続を統合し、以前のハンドシェイクで TLS 証明書を受け取っていた場合は、例外が適用されることがあります。この場合、その証明書に一致する SAN エントリがある場合、一部のブラウザでは既存のセキュア接続を Fastly に再使用することがあります。

証明書の更新

Fastly では、証明書をいつでも新しい証明書に置き換え、更新することができます。TLS certificates ページの証明書カードに表示される以下の警告を参考に、更新および置換が必要な証明書を識別してください。

  • Expiring: 証明書が有効期限に近づいていることを示します。
  • Expired: 証明書が有効期限を過ぎていることを示します。
  • Replace: Fastly が更新と置換を推奨する証明書を示します。

削除されたドメインがない場合の証明書の更新

TLS 証明書を、元の証明書と同じドメインをすべて含む (スーパーセットまたはマッチングリストのいずれかとして) 証明書に置き換えて更新するには、次の手順に従います。

  1. 新しい証明書を任意の認証局から生成します。
  2. Fastly コントロールパネルにログインします。
  3. Security > TLS management > Self-managed certificates に移動します。
  4. 交換する証明書のカードを見つけます。
  5. 証明書カードの右上にある Replace をクリックします。
  6. 新しい証明書ファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。選択した新しい証明書は、PEM 形式で既存の証明書のすべての SAN エントリーが含まれている (完全に一致するリスト、またはスーパーセットが含まれている) 必要があります。または、ブラウズリンクをクリックし、ファイル選択画面からシステム上のファイルに移動します。
  7. 新しい証明書で新しいキーが生成された場合、キーファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。または、ブラウズリンクをクリックし、ファイル選択画面からシステム上のファイルに移動します。
  8. ドラッグアンドドロップエリアの下にある certificate replacement メニューで、事前に選択した証明書を新しい証明書に交換するかどうかを確認します。
  9. Submit をクリックします。

古い証明書を使用して配信していたすべてのドメインの TLS トラフィックが、自動的に数分以内に更新した新しい証明書を使用して配信されるようになります。ドメインで TLS を有効化するステップに従って、新しいドメインはすべて手動で有効化する必要があります。

ドメインに変更がある場合の証明書の更新

ドメインの削除を必要とする証明書を更新する場合は、SAN エントリーのリストを更新した新しい証明書を入手する必要があります。以下の手順に従って、この証明書を新しい証明書としてアップロードします。

  1. 新しい証明書をアップロードします。

  2. Security > TLS management > Domains に移動します。

  3. 置き換えようとしている証明書で既に有効化されている既存のドメインを探します。

  4. 追加の有効化を追加する証明書の横にある View details をクリックします。

  5. Add TLS activation をクリックします。

  6. 証明書に適用する TLS 設定を選択します。ドメイン上の別の証明書に対して設定がすでに有効になっている場合、通知が表示されます。続行するには、Switch to this certificate をクリックする必要があります。

    Regional Routing をご購入いただいた場合、グローバル POP のリージョンのサブセット別に TLS 設定が表示され、Fastly からのトラフィック配信をその地域のみに制限することができます。いったん設定が選択されたら、TLS 設定がドメインに適用されます。各 TLS 設定は有効化され、それぞれの IP アドレスと DNS レコード経由でアクセスすることができます。

  7. 古い証明書を削除します。

新たに有効化されたドメインの証明書は、Fastly のグローバルネットワーク全体にデプロイするのに5分から1時間かかる場合があります。新しい証明書が1時間経過しても有効にならない場合には、サポートチームにご連絡ください

TLS の無効化と証明書および秘密鍵の削除

TLS が有効化されているドメインは、TLS domains ページに表示される Deactivate TLS リンクから TLS を無効にすることができます。ドメインに複数の証明書がある場合、Add/Edit Activations をクリックし、有効な設定の横にある Deactivate ボタンをクリックすることで、特定の証明書を無効化することができます。すべての証明書が無効化されると、Fastly は選択されたドメインで TLS トラフィックを提供しなくなり、ドメインは無効になります。

Self-managed certificates ページから証明書を削除する場合は、必ずその証明書に含まれるすべてのドメインの TLS 設定を無効にしてください。また、秘密鍵を削除する場合は、対応するすべての証明書がすでに削除されている必要があります。秘密鍵は、一致する TLS 証明書がない場合にのみ削除することができます。

ヒント

一致しない秘密鍵と未使用の秘密鍵は自動的に削除されません。最大キー制限に達しないよう、未使用のキーは必ず削除してください。

証明書の有効期限

証明書の有効期限が残り30日になると、コントロールパネルに期限切れ間近の証明書に関する警告が表示されます。Fastly はまた、すべてのスーパーユーザーに対して自動有効期限切れ通知メールを定期的に送信します。証明書を置き換える、または削除しない限り、証明書の期限が切れるまで繰り返しメールが送信されます。証明書の有効期限が切れると、Fastly は期限切れに関する自動通知メールを送信しません。


翻訳についての注意事項
このガイドは役に立ちましたか?

このフォームを使用して機密性の高い情報を送信しないでください。サポートが必要な場合は、サポートチームまでご連絡ください。このフォームは reCAPTCHA によって保護されており、Google のプライバシーポリシー利用規約が適用されます。

Fastly
© Fastly 2025