独自の証明書で TLS を設定する

このガイドでは、Fastly TLS プロダクトを使用して、Fastly コントロールパネルでお客様の TLS 証明書とプライベートキーをアップロードし、デプロイする方法について説明します。

HTTPS (Hypertext Transfer Protocol Secure) を使用して Fastly から安全なトラフィックを配信するために、Web サイトやアプリケーションは、信頼できる認証機関 (CA) によって署名された有効な TLS 証明書を提供する必要があります。TLS (トランスポートレベルセキュリティ) とその前身の SSL (セキュアソケットレイヤー) を利用することで、クライアントは安全なサーバー接続を通じて HTTPS によってトラフィックを配信することができます。

設定前の注意点

ドメインに TLS を設定する前に、Fastly TLS の前提条件と制限事項をご確認ください。

初めて TLS の設定

TLS を設定するには、TLS 証明書と一致する秘密鍵 (最初は証明書の生成に使用されます) をアップロードします。その後、ドメインに TLS 設定を適用し、ドメインで TLS を有効化します。

初めて TLS を設定するには、以下の手順を完了します。

1. Fastly コントロールパネルにログインし、Secure リンクをクリックします。Secure ページでは、Fastly のセキュリティ製品の概要が表示されます。
2. Manage certificates をクリックします。
3. Get started をクリックします。
4. Upload my own private key and certificate をクリックして続行します。
5. キーファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。または、ブラウズリンクをクリックし、ファイル選択画面を使用してシステム上のファイルに移動します。キーのイメージとともに成功メッセージが表示されます。
   重要

   現在、キーファイルのアップロードツールでは、256ビットまたは384ビット ECDSA キー、あるいは2048ビット RSA キーのみを使用できます。

6. 証明書ファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。または、ブラウズリンクをクリックし、ファイル選択画面を使用してシステム上のファイルに移動します。
7. Continue をクリックして、ドメインで TLS を有効化するための最終ステップに移動します。
8. 有効化するドメインの横にあるチェックボックスを選択します。
9. Select a TLS Configuration の選択メニューから、適用する TLS 設定を選択します。この設定では、証明書がデプロイされる IP と、適用される関連する TLS 設定の両方を定義します。デフォルトオプションは HTTP/3 & TLS v1.3 +0RTT (t.sni) です。
10. Activate をクリックします。

追加ドメインの保護

最初のドメインに対して TLS を設定した後、追加の TLS 証明書と秘密鍵をアップロードして他のドメインで TLS を有効化することができます。

秘密鍵と証明書のアップロード

TLS 証明書と関連する秘密鍵をアップロードするには、以下の手順に従ってください。

1. Self-managed certificates タブを選択します。

2. アップロードキーまたは証明書メニューから、Add a new key or certificate を選択します。

   

3. 新しい証明書に対して新しいキーの生成をお勧めします。キーファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。または、ブラウズリンクをクリックしてファイルピッカーを使用してシステム上のファイルに移動します。複数の秘密鍵が存在する場合、固有の SHA1 ハッシュでそれぞれを識別することができます。

4. 証明書ファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。または、ブラウズリンクをクリックし、ファイル選択画面を使用してシステム上のファイルに移動します。

5. Submit をクリックします。証明書詳細ページが表示されます。

証明書ファイルをアップロードすると、ドメインで TLS を有効化することができます。

ドメインでの TLS の有効化

有効な証明書と秘密鍵がアップロードされると、SAN エントリーとして表示されるすべてのドメインが、TLS 準備完了ステータスと共にドメインページに表示されます。証明書を使用して、HTTPS トラフィックを提供するには、以下の手順に従ってドメインの TLS を有効化し、DNS レコードを証明書の場所にポイントしてください。

1. Domains をクリックします。

2. TLS を有効化する証明書が付いているドメインのカードを見つけます。無効状態の証明書は Ready to activate のステータスを持ちます。

3. 有効化したい証明書の右側にある AddTLS activation をクリックします。

4. 適用する TLS 設定を選択します。ドメイン上の別の証明書に対して設定がすでに有効になっている場合、通知が表示されます。続行するには、Switch to this certificate をクリックする必要があります。

   お客様の TLS 証明書が Fastly のエッジネットワーク全体に展開されます。証明書が世界中で利用可能になるには、最大1時間かかる場合があります。

5. View details をクリックしてドメインの DNS 詳細を表示します。これらの詳細を使用して DNS レコードを設定して証明書を使用して TLS 接続を確立することができます。

   • Apex ドメイン (例: example.com) で TLS を使用する場合、DNS プロバイダーで A レコードを作成する必要があります。
   • サブドメインやワイルドカードドメイン (例: www.example.com または *.example.com) の場合は、関連する CNAME レコードを作成する必要があります。

TLS 構成をドメインに適用する

TLS 設定には、サポートする TLS と HTTP のバージョンに加え、クライアントが使用するネットワークやハンドシェイクのオプションに関する一連の情報が含まれます。アカウントに複数の TLS 設定がある場合、デフォルトの設定表示エリアの右上に「Default」と表示されます。

ドメインに適用されているデフォルトの TLS 設定をオーバーライドしたり、ドメインが別の設定を利用できるようにするには、以下の手順に従ってください。

1. Domains をクリックします。
2. 追加の TLS 有効化を追加する証明書が付いているドメインのカードを見つけます。
3. 追加の有効化を追加する証明書の横にある View details をクリックします。
4. Add TLS activation をクリックします。
5. 証明書に適用する TLS 設定を選択します。

いったん設定が選択されたら、TLS 設定がドメインに適用されます。各 TLS 設定は有効化され、それぞれ の IP アドレスと DNS レコード経由でアクセスすることができます。

1. View details をクリックし、その情報を使用して DNS レコードを構成し、証明書を使用して TLS 接続を確立できるようにします。
2. 新しい DNS レコードが反映されたことが確認できたら (反映には最大で48時間かかります)、ゴミ箱をクリックし、古い TLS 設定を削除してください。

証明書の更新

Fastly では、証明書をいつでも新しい証明書に置き換え、更新することができます。更新と置換が必要な証明書の識別に役立つため、TLS 証明書ページの証明書カードに以下の警告が表示されます。

• Expiring: 証明書が有効期限に近づいていることを示します。
• Expired: 証明書が有効期限切れであることを示します。
• Replace: Fastly が更新と置き換えを推奨する証明書を示します。

削除されたドメインがない場合の証明書の更新

TLS 証明書を、元の証明書と同じドメインをすべて含む（スーパーセットまたはマッチングリストのいずれかとして）証明書に置き換えて更新するには、次の手順に従います。

1. 新しい証明書を任意の認証局から生成します。
2. Self-managed certificates タブを選択します。
3. 交換する証明書のカードを見つけます。
4. 証明書カードの右上にある Replace という単語をクリックします。
5. 交換証明書ファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。選択した新しい証明書は PEM 形式で、既存の証明書のすべての SAN エントリーが含まれている (完全に一致するリスト、またはスーパーセットが含まれている) 必要があります。または、ブラウズリンクをクリックし、ファイル選択画面を使用してシステム上のファイルに移動します。
6. 新しい証明書で新しいキーが生成された場合、キーファイルをドラッグアンドドロップエリアにドラッグアンドドロップします。または、ブラウズリンクをクリックしてファイルピッカーを使用してシステム上のファイルに移動します。
7. ドラッグアンドドロップエリアの下にある証明書交換メニューが事前に選択されている証明書と新しい証明書に交換するかどうかを確認します。
8. Submit をクリックします。

古い証明書を使用して配信していたすべてのドメインの TLS トラフィックが自動的に数分以内に更新した新しい証明書を使用して配信されるようになります。ドメインで TLS を有効化するステップに従って、新しいドメインはすべて手動で有効化する必要があります。

ドメインに変更がある場合の証明書の更新

ドメインの削除を必要とする証明書を更新する場合は、SAN エントリーのリストを更新した新しい証明書を入手する必要があります。以下の手順に従って、この証明書を新しい証明書としてアップロードします。

1. 新しい証明書をアップロードします。
2. Domains タブをクリックして、置き換える証明書ですでに有効化されている、以前の既存のドメインを探します。
3. 追加の有効化を追加する証明書の横にある View details をクリックします。
4. Add TLS activation ボタンをクリックします。
5. 証明書に適用する TLS 設定を選択します。設定が選択されると、TLS 設定がドメインに適用されます。各 TLS 設定は有効化され、それぞれの IP アドレスと DNS レコード経由でアクセスすることができます。
6. 古い証明書を削除します。

新たに有効化されたドメインの証明書は、Fastly のグローバルネットワーク全体にデプロイするのに5分から1時間かかる場合があります。新しい証明書が1時間経過しても有効にならない場合には、サポートチームにご連絡ください。

TLS の無効化と証明書および秘密鍵の削除

TLS が有効化されているドメインは、TLS domains ページに表示される TLSを無効化するリンクで TLS を無効にすることができます。複数の証明書を持っている場合、Add/Edit Activations をクリックし、有効な設定の横にあるDeactivate ボタンをクリックすることで、特定の証明書を無効化することができます。すべての証明書が無効化されると、Fastly は選択されたドメインで TLS トラフィックを提供できなくなり、無効になります。

セルフマネージド証明書ページから証明書を削除する場合は、必ずその証明書に含まれるすべてのドメインの TLS 設定を無効にしてください。また、秘密鍵を削除する場合は、対応するすべての証明書がすでに削除されている必要があります。秘密鍵は、一致する TLS 証明書がない場合にのみ削除することができます。

証明書期限切れ

証明書の有効期限が残り30日になると、コントロールパネルに期限切れ間近の証明書に関する警告が表示されます。Fastlyはまた、すべてのスーパーユーザーに自動有効期限切れ通知メールを定期的に送信します。証明書を置き換える、または削除しない限り、証明書の期限が切れるまで繰り返しメールが送信されます。証明書の有効期限が切れると、Fastly は期限切れに関する自動通知メールを送信しません。