- English
- 日本語
Fastly TLS の前提条件と制約事項
最終更新日 2024-03-12
Fastly マネージド TLS サブスクリプション (マネージド TLS) またはセルフマネージド TLS 証明書 (Bring Your Own Certificates) をご利用になる前に、以下の前提条件と制約事項をご確認ください。
Fastly TLS を使用するための前提条件
Fastly TLS を使用するためには、以下が設定されている必要があります。
- スーパーユーザーの役割、または TLS 管理権限が追加されたユーザーの役割が割り当てられた Fastly ユーザーアカウント
- TLS 証明書に SAN エントリーとして登録される関連ドメインに関する DNS レコードの変更権限
- 適切に構成された Fastly サービスに追加された関連ドメイン
Fastly マネージド証明書の制約事項
Fastly マネージド証明書は、有料アカウントとトライアルアカウントの両方で利用できるオプションです。Fastly マネージド証明書を使用して TLS を設定する場合、Fastly は ACME プロトコルを使用して TLS 証明書の調達と更新を行います。 認証機関には、いくつかのオプションがあります。
注意
料金は、選択する認証機関によって異なります。
- Certainly は、Fastly の公的に信頼されている認証機関です
- Let’s Encrypt は、サードパーティの非営利認証機関です
- GlobalSign は、サードパーティの商用認証機関です (有料アカウントでのみご利用いただけます)
いずれの認証機関を選択した場合も、以下の制約が適用されます。
- Fastly マネージド証明書では、デフォルトでクライアントが TLS v1.2 と Server Name Indication (SNI) をサポートしている必要があります。これらのデフォルト以外の設定の使用方法については、sales@fastly.com までお問い合わせください。カスタム設定を使用する場合は、専用の Fastly IP アドレスプールを別途ご購入頂く必要があります。
- Fastly TLS は、Triple DES (3des) 暗号スイートをサポートしていません。
トライアルアカウントには、以下の制約があります。
- トライアルアカウントには、Certainly または Let's Encrypt の認証機関を使用し、最大2つの TLS ドメインを無料で利用できます。
- ワイルドカード証明書は、トライアルアカウントではサポートされません。
セルフマネージド証明書の前提条件と制約事項
セルフマネージド証明書は、有料アカウントのオプションです。セルフマネージド TLS 証明書を使用して TLS を設定する場合、Fastly コントロールパネルまたは API を使用して、独自の TLS 証明書と秘密鍵をアップロードしてデプロイします。
Fastly TLS でセルフマネージド証明書を使用するには、以下の前提条件を満たす必要があります。
- Fastly の有料ユーザーアカウント (開発者向けのトライアルアカウントではご利用いただけません)
- 信頼できる認証機関 (CA) からの有効な X.509 TLS 証明書と、それに一致する256ビット ECDSA 秘密鍵 (推奨) または2048ビット RSA 秘密鍵
- TLS 証明書に Subject Alternative Name (SAN) エントリーとして追加された関連ドメイン
これらの前提条件に加えて、アップロードした証明書と選択した CA に関する以下の制約事項も考慮してください。
- デフォルトの設定ではアップロードされた証明書を利用するクライアントが TLS v1.2 と Server Name Indication (SNI) をサポートする必要があります。これらのデフォルト以外の設定の使用方法については、japan@fastly.com までお問い合わせください。カスタム設定を使用する場合は、専用の Fastly IP アドレスプールを別途ご購入頂く必要があります。
- DigiCert をご利用の場合、証明書を変更すると、DigiCert は再発行の72時間後に元の証明書を無効化するのでご注意ください。速やかに新しい証明書をアップロードし、すべてのホスト名を切り替えてください。
アップロードする各証明書には、一致する秘密鍵が必要です。秘密鍵は暗号スイートを使用し、一連のアルゴリズムとプロトコルを通じて通信を暗号化して保護します。 Fastly TLS に使用する秘密鍵と暗号スイートに関連する、以下の制約事項を考慮してください。
- Fastly TLS は、Triple DES (3des) 暗号スイートをサポートしていません。
サポートされている暗号スイート
アップロードする各証明書には、一致する秘密鍵が必要です。秘密鍵は暗号化を使用し、一連のアルゴリズムとプロトコルを通じて通信を暗号化して保護します。Fastly は、以下の暗号スイートをサポートしています。
TLS 1.3
以下の暗号は、TLS 1.3 でサポートされています。これは、TLS を初めて設定するときに使用されるデフォルトバージョンの TLS です。
最高レベルのセキュリティを確保するために、これらの暗号を使用することをお勧めします。
| RFC 暗号名 | openssl 暗号名 |
|---|---|
TLS_AES_256_GCM_SHA384 | TLS13-AES-256-GCM-SHA384 |
TLS_CHACHA20_POLY1305_SHA256 | TLS13-CHACHA20-POLY1305-SHA256 |
TLS_AES_128_GCM_SHA256 | TLS13-AES-128-GCM-SHA256 |
TLS 1.2
以下の暗号化は、TLS 1.2 でサポートされています。Fastly でサポートされている TLS の最低標準バージョンです。
| RFC 暗号名 | openssl 暗号名 |
|---|---|
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDHE-RSA-AES128-GCM-SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ECDHE-ECDSA-AES128-GCM-SHA256 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDHE-RSA-AES256-GCM-SHA384 |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ECDHE-ECDSA-AES256-GCM-SHA384 |
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | ECDHE-RSA-CHACHA20-POLY1305 |
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 | ECDHE-ECDSA-CHACHA20-POLY1305 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDHE-RSA-AES128-SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ECDHE-ECDSA-AES128-SHA256 |
レガシー暗号
以下は、TLS バージョン 1.0 - 1.1 でのみサポートされているレガシー暗号です。カスタム暗号スイートを作成するには、専用 IP アドレスが必要です。 これらの暗号は、古いデバイスとの互換性の確保など、エッジケースでのみ使用することができます。 可能な限り最高レベルのセキュリティを確保するため、TLS 1.3 へのアップグレードをお勧めします。
| RFC 暗号名 | openssl 暗号名 |
|---|---|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDHE-RSA-AES128-SHA |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ECDHE-ECDSA-AES128-SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDHE-RSA-AES256-SHA |
TLS_RSA_WITH_AES_128_GCM_SHA256 | AES128-GCM-SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ECDHE-ECDSA-AES256-SHA |
TLS_RSA_WITH_AES_128_CBC_SHA | AES128-SHA |
TLS_RSA_WITH_AES_256_CBC_SHA | AES256-SHA |
TLS_RSA_WITH_3DES_EDE_CBC_SHA | DES-CBC3-SHA |
Customer-Provided TLS Certificate Hosting Service の制約
注意
Fastly は、旧バージョンの Customer-Provided TLS Certificate Hosting Service を従来どおりサポートしています。 Customer-Provided TLS Certificate Hosting Service から現行の Fastly TLS サービスへの移行については、サポートチームまでお問い合わせください。
Fastly TLS の互換のコントロールパネルは、お客様が管理する TLS 証明書のホスティングサービスでアップロードされた証明書においてもご利用いただけますが、以下の制約事項にご注意下さい。
- 過去にアップロードした証明書を更新する場合、お客様は、請求書への変更なしに、ご自身が管理する TLS 証明書のホスティングサービスを継続して利用することができます。
- 以前にアップロードした証明書をお客様提供の TLS 証明書ホスティングサービスから削除し、Fastly TLS を使用して新しい証明書をアップロードすると、新しい証明書は Fastly TLS のお客様に対する請求として課金されます。削除された証明書については、お客様が管理する TLS 証明書のホスティングサービスのご契約内容に応じてご契約期間が完了するまで課金が発生します。
次の手順
これらの前提条件と制約事項を確認したら、TLS の使用を開始する準備は完了です。TLS クイックスタートガイドでは、Certainly を使用してすばやくセットアップする方法をご紹介しています。詳細については、Fastly が管理する証明書で TLS を設定する方法、およびお客様の持ち込み証明書で TLS を設定する方法に関するガイドもご覧ください。
翻訳についての注意事項
このフォームを使用して機密性の高い情報を送信しないでください。サポートが必要な場合は、サポートチームまでご連絡ください。このフォームは reCAPTCHA によって保護されており、Google のプライバシーポリシーと利用規約が適用されます。
