お客様が管理する証明書を使用して HTTPS で配信する
最終更新日 2023-01-31
このガイドでは、Fastly TLS プロダクトを使用して、Fastly コントロールパネルでお客様の TLS 証明書とプライベートキーをアップロードし、デプロイする方法について説明します。
HTTPS (Hypertext Transfer Protocol Secure) を使用して Fastly から安全なトラフィックを配信するために、Web サイトやアプリケーションは、信頼できる認証機関 (CA) によって署名された有効な TLS 証明書を提供する必要があります。TLS (トランスポートレベルセキュリティ) とその前身の SSL (セキュアソケットレイヤー) を利用することで、クライアントは安全なサーバー接続を通じて HTTPS によってトラフィックを配信することができます。
ヒント
Fastly では、Fastly 上のドメインの TLS を有効にするために使用される、鍵や証明書をアップロードして管理する API を提供しています。
設定前の注意点
コントロールパネル経由でアップロードし、デプロイした証明書と秘密鍵で Fastly TLS を使用する前に、以下の前提条件が満たされていることをご確認ください。
- スーパーユーザーの役割、または TLS 管理権限が追加されたユーザーの役割が割り当てられた有料 Fastly ユーザーアカウント (開発者のトライアル以外)
- 信頼できる CA からの有効な X.509 TLS 証明書と、一致する 256 ビット ECDSA プライベートキー (推奨) や 2048 ビット RSA 秘密鍵
- TLS 証明書に SAN (サブジェクト代替名) エントリーとして表示される関連ドメインの DNS レコードを変更する権限を有すること
- 適切に構成された Fastly サービスに追加された関連ドメイン
Fastly TLS の互換のコントロールパネルは、お客様 TLS 証明書のホスティングサービスでアップロードされた証明書においてもご利用いただけますが以下の制約事項にご注意下さい。
- 過去にアップロードした証明書を更新する場合、請求書は変更されずに、顧客が提供した TLS 証明書ホスティングサービスを継続して利用することができます。
- 以前にアップロードした証明書をお客様提供の TLS 証明書ホスティングサービスから削除し、Fastly TLS を使用して新しい証明書をアップロードすると、新しい証明書は Fastly TLS の請求として課金されます。削除された証明書については、お客様 TLS 証明書ホスティングサービスのご契約内容に応じてご契約期間が完了するまで課金が発生します。
お客様 TLS 証明書ホスティングサービスから Fastly TLS への移行については、サポートチームまでお問い合わせください。
これらの前提条件に加えて、以下の制約事項についてもご了承下さい。
- デフォルトの設定ではアップロードされた証明書を利用するクライアントが TLSv1.2 と Server Name Indication (SNI) をサポートする必要があります。これらのデフォルト以外の設定の使用方法については、sales@fastly.com までお問い合わせください。カスタム設定を使用する場合は、専用の Fastly IP アドレスプールを別途ご購入頂く必要があります。
- Fastly TLS は、Triple DES (3des) 暗号スイートをサポートしていません。
- DigiCert をご利用の場合、証明書を変更すると、DigiCert は再発行の72時間後に元の証明書を無効化しますのでご注意ください。速やかに新しい証明書をアップロードし、すべてのホスト名を切り替えてください。
初めて TLS の設定
TLS を設定するには、TLS 証明書と一致する秘密鍵 (最初は証明書の生成に使用されます) をアップロードします。その後、ドメインに TLS 設定を適用し、ドメインで TLS を有効化します。
初めて TLS を設定するには、以下の手順を完了します。
- Fastly コントロールパネルにログインし、Secure リンクをクリックします。Secure ページでは、Fastly のセキュリティ製品の概要が表示されます。
- Manage certificates ボタンをクリックします。TLS domains ページが表示され、TLS が有効化された、または有効化可能なドメインが表示されます。
- Get started ボタンをクリックします。
- Upload my own private key and certificate リンクをクリックして続行します。
- キーファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。または、ブラウズリンクをクリックしてファイルピッカーを使用してシステム上のファイルに移動します。成功メッセージとキーの可視化が表示されます。
重要
キーファイルアップロードツールでは、256 ビットまたは 384 ビットの ECDSA キーまたは 2048 ビットの RSA キーのみを受け付けています。長い鍵長が必要な場合は、サポートチームまでお問い合わせください。
- 証明書ファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。または、ブラウズリンクをクリックしてファイルピッカーを使用してシステム上のファイルに移動します。正しくアップロードするとメッセージが表示されます。
- Continue ボタンをクリックしてドメインで TLS を有効化する最終手順に移動します。証明書詳細ページが表示されます。
- 有効化するドメインの横にあるチェックボックスを選択します。
- Select a TLS Configurationの選択メニューから、適用する TLS 設定を選択します。この設定では、証明書がデプロイされる IP と、適用される関連する TLS 設定の両方を定義します。デフォルトオプションは HTTP/3 & TLS v1.3 +0RTT です。
- Activate をクリックします。
追加ドメインの保護
最初のドメインに対して TLS を設定した後、追加の TLS 証明書と秘密鍵をアップロードして他のドメインで TLS を有効化することができます。
秘密鍵と証明書のアップロード
TLS 証明書と関連する秘密鍵をアップロードするには、以下の手順に従ってください。
重要
キーファイルアップロードツールでは、256 ビットまたは 384 ビットの ECDSA キーまたは 2048 ビットの RSA キーのみを受け付けています。長い鍵長が必要な場合は、サポートチームまでお問い合わせください。
TLS certificatesタブを選択します。
Upload key or certificateメニューから、Add a new key or certificateを選択します。新しいキーと証明書の追加ページが表示されます。
新しい証明書に対して新しいキーの生成をお勧めします。キーファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。または、ブラウズリンクをクリックしてファイルピッカーを使用してシステム上のファイルに移動します。複数の秘密鍵が存在する場合、固有の SHA1 ハッシュでそれぞれを識別することができます。
証明書ファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。または、ブラウズリンクをクリックしてファイルピッカーを使用してシステム上のファイルに移動します。
Submit をクリックします。証明書詳細ページが表示されます。
証明書ファイルをアップロードすると、ドメインで TLS を有効化することができます。
ドメインでの TLS の有効化
有効な証明書と秘密鍵がアップロードされると、SAN エントリーとして表示されるすべてのドメインが、TLS ready のステータスで TLS domains ページに表示されます。証明書を使用して、HTTPS トラフィックを提供するには、以下の手順に従ってドメインの TLS を有効化し、DNS レコードを証明書の場所にポイントしてください。
TLS domains タブをクリックします。SAN エントリーとして表示されるすべてのドメインのリストが表示されます。
TLS を有効化する証明書が付いているドメインのカードを見つけます。無効状態の証明書は
Ready to activate
のステータスを持ちます。有効化する証明書の右側にある Add TLS activation ボタンをクリックします。
適用する TLS 設定を選択します。ドメイン上の別の証明書に対して設定がすでに有効になっている場合、通知が表示されます。続行するには、Switch to this certificate をクリックする必要があります。
お客様の TLS 証明書が Fastly のエッジネットワーク全体に展開されます。証明書が世界中で利用可能になるには、最大1時間かかる場合があります。
View details をクリックしてドメインの DNS 詳細を表示します。これらの詳細を使用して DNS レコードを設定して証明書を使用して TLS 接続を確立することができます。
- 頂点ドメイン(例:1
example.com
)で TLS を使用する場合、DNSプロバイダーでAレコードを作成する必要があります。 - サブドメインやワイルドカードドメイン (例:
www.example.com
または*.example.com
) の場合は、関連する CNAME レコードを作成する必要があります。
- 頂点ドメイン(例:1
重要
新しい DNS レコードがインターネット全体に伝搬するには、最大48時間かかる場合があります。
TLS 構成をドメインに適用する
TLS 設定には、サポートする TLS と HTTP のバージョンに加え、クライアントが使用するネットワークやハンドシェイクのオプションに関する一連の情報が含まれます。アカウントに複数の TLS 設定がある場合、デフォルトの設定表示エリアの右上に「Default」と表示されます。
ヒント
TLS 設定の名前は、名前の横にあるペンのアイコンをクリックして編集できます。
ドメインに適用されているデフォルトの TLS 設定をオーバーライドしたり、ドメインが別の設定を利用できるようにするには、以下の手順に従ってください。
TLS domains タブをクリックします。SAN エントリーとして表示されるすべてのドメインのリストが表示されます。
追加の TLS 有効化を追加する証明書が付いているドメインのカードを見つけます。
追加の有効化を追加する証明書の横にある View details をクリックします。カードは拡張され、有効化の詳細が表示されます。
Add TLS activation ボタンをクリックします。
証明書に適用する TLS 設定を選択します。
注意
特定のドメインに複数の証明書を持つことができますが、特定の TLS 設定に対して有効化できる証明書は1つだけです。TLS 設定が、別の証明書ですでに使用されている場合、この証明書に切り替える ボタンが表示されます。
いったん設定が選択されたら、TSL 設定がドメインに適用されます。各 TLS 設定は有効化され、それぞれ の IP アドレスと DNS レコード経由でアクセスすることができます。
証明書を使用して TLS 接続を確立できるよう、このセクションで表示される DNS の詳細に基づいて View details をクリックします。
新しい DNS レコードが反映されたことが確認できたら (最大で48時間かかります)、ゴミ箱のアイコンをクリックし、古い TLS 設定を削除してください。
注意
HTTP/1.1 については、ウェブアプリケーションで各ドメインの TLS を有効化してください。複数の SAN を持つ証明書をアップロードした場合、Fastly でこれらのドメインを保護するには、各ドメインで TLS を明示的に有効にする必要があります。
HTTP/2 の場合、ブラウザがセキュアな接続を統合し、以前のハンドシェイクで TLS 証明書を受け取っていた場合は、例外が適用されることがあります。この場合、証明書に一致する SAN エントリーがあれば、ブラウザによっては Fastly への既存のセキュアな接続を再利用することができます。
証明書の更新
Fastly では、証明書をいつでも新しい証明書に置き換え、更新することができます。更新と置換が必要な証明書の識別に役立つため、TLS 証明書ページの証明書カードに以下の警告が表示されます。
- Expiring: 証明書が有効期限に近づいていることを示します。
- Expired: 切れ証明書が有効期限を過ぎていることを示します。
- Replace: Fastlyが更新と置き換えることを推奨する証明書を示します。
削除されたドメインがない場合の証明書の更新
TLS 証明書を、元の証明書と同じドメインをすべて含む(スーパーセットまたはマッチングリストのいずれかとして)証明書に置き換えて更新するには、次の手順に従います。
- 新しい証明書を任意の認証局から生成します。
- TLS 証明書タブを選択します。
- 交換する証明書のカードを見つけます。
- 証明書カードの右上にある Replace という単語をクリックします。
- 交換証明書ファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。選択した新しい証明書は PEM 形式で、既存の証明書のすべての SAN エントリーが含まれている (完全に一致するリスト、またはスーパーセットが含まれている) 必要があります。または、ブラウズリンクをクリックしてファイルピッカーを使用してシステム上のファイルに移動します。
- 新しい証明書で新しいキーが生成された場合、キーファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。または、ブラウズリンクをクリックしてファイルピッカーを使用してシステム上のファイルに移動します。
- ドラッグアンドドロップエリアの下にある証明書交換メニューが事前に選択されている証明書と新しい証明書に交換するかどうかを確認します。
- Submit をクリックします。
古い証明書を使用して配信していたすべてのドメインの TLS トラフィックが自動的に数分以内に更新した新しい証明書を使用して配信されるようになります。ドメインで TLS を有効化するステップに従って、新しいドメインはすべて手動で有効化する必要があります。
ドメインに変更がある場合の証明書の更新
ドメインの削除を必要とする証明書を更新する場合は、SAN エントリーのリストを更新した新しい証明書を入手する必要があります。以下の手順に従って、この証明書を新しい証明書としてアップロードします。
- 新しい証明書をアップロードします。
- TSL domainsタブをクリックして、置き換える証明書ですでに有効化されている、以前の既存のドメインを探します。
- 追加の有効化を追加する証明書の横にある View details をクリックします。カードは拡張され、有効化の詳細が表示されます。
- Add TLS activation ボタンをクリックします。
- 証明書に適用する TLS 設定を選択します。いったん設定が選択されたら、TSL 設定がドメインに適用されます。各 TLS 設定は有効化され、それぞれの IP アドレスと DNS レコード経由でアクセスすることができます。
- 古い証明書を削除します。
新たに有効化されたドメインの証明書は、Fastly のグローバルネットワーク全体にデプロイするのに5分から1時間かかる場合があります。新しい証明書が1時間経過しても有効にならない場合には、サポートチームにご連絡ください。
TSL の無効化と証明書および秘密鍵の削除
TLS が有効化されているドメインは、TLS domains ページに表示される Deactivate TLS リンクで TLS を無効にすることができます。複数の証明書を持っている場合、Add/Edit Activations をクリックし、有効な設定の横にあるDeactivate ボタンをクリックすることで、特定の証明書を無効化することができます。すべての証明書が無効化されている場合は、Fastly は選択されたドメインでTLSトラフィックを提供せず、それは無効になります。
TLS certificates ページから証明書を削除する場合は、必ずその証明書に含まれるすべてのドメインの TLS 設定を無効にします。また、秘密鍵を削除する場合は、対応するすべての証明書がすでに削除されている必要があります。秘密鍵は、一致する TLS 証明書がない場合にのみ削除することができます。
証明書期限切れ
証明書の有効期限が残り30日になると、コントロールパネルに期限切れ間近の証明書に関する警告が表示されます。Fastlyはまた、すべてのスーパーユーザーに自動有効期限切れ通知メールを定期的に送信します。証明書を置き換える、または削除しない限り、証明書の期限が切れるまで繰り返しメールが送信されます。証明書の有効期限が切れると、Fastly は期限切れに関する自動通知メールを送信しません。