TLS クイックスタート

ようこそ！このガイドは、皆さんのような新しい TLS ユーザーが Fastly の公的に信頼された認証局である Certainly を使用して、すぐに Fastly TLS を使用開始できるよう支援することを目的としています。Fastly サービスに追加したドメイン向けに TLS を設定することで、Fastly CDN 経由でオリジンのWebサイトをユーザーに配信できます。

設定前の注意点

以下の点にご注意ください。

• TLS の前提条件と制限を確認してください。
• このガイドは、Fastly アカウントと、少なくとも1つのドメインが追加されているサービスがあることを前提としています。もしこれらをお持ちでない場合は、スタートガイドを参照して迅速にセットアップしてください。
• このガイドでは、apex またはセカンドレベルドメインではなく、サブドメインの操作に関する手順について説明します。これらのタイプのドメインを操作するには、apex ドメインで Fastly を使用するためのガイドを参照してください。

1. TLS 証明書の作成

Fastly マネージド TLS を使用して TLS 証明書を作成します。つまり、Fastly が証明書を調達し、証明書の更新を管理します。Fastly は、Certainly を使用して証明書を発行します。

1. Fastly コントロールパネルにログインし、Secure リンクをクリックします。Secure ページでは、Fastly のセキュリティ製品の概要が表示されます。
2. Manage certificates をクリックします。

3. TLS を初めて設定する場合は、Get started をクリックします。 アカウントに TLS 証明書が既に存在する場合、代わりに Secure another domain をクリックします。

4. HTTPS で保護するドメインの名前 (例: www.tacolabs.com) を入力し、Add をクリックします。このドメインが Fastly サービスの1つに存在することを確認してください。

5. Fastly はドメインを Common name として追加します。認証局として Certainly を選択し、デフォルトの TLS 設定を維持した状態で Submit をクリックします。

   

2. ドメインの検証

Submit をクリックすると、Fastly は、ドメインを所有していることを確認するために必要な情報を提供します。そのため、お客様はドメインの DNS レコードにアクセスする必要があります。ほとんどの場合、ドメインを購入した場所になります。正確なプロセスは異なる可能性がありますが、ほとんどのプロバイダーでは以下の手順で確認することが可能です。

1. Verification options をクリックし、ACME DNS challenge のメニューを展開します。

2. CNAME アドレス (_acme-challenge の後にドメイン名が続きます) を保存してください。これは、DNS レコードをポイントするアドレスになります。 CNAME 値は、fastly-validations.com が後に続く文字列です。これらは後で必要になります。

   

3. DNS プロバイダーまたはドメインレジストラ (ドメインを登録または購入した場所) にアクセスし、カスタム DNS 設定に移動します。

4. 新しい CNAME レコードを追加して、TLS 証明書のドメインを検証します。

   • TLS 情報に基づいて hostname を CNAME アドレスに設定します (_acme-challenge の後にドメインが続きます)。
   • address (データまたはコンテンツと呼ばれることもあります) を、fastly-validations.com で終わる CNAME 値に設定します。

5. 新しいレコードを保存し、Fastly アカウントに戻ります。Fastly は、ドメインを検証し証明書を発行します。このプロセスは、通常20分から1時間かかりますが、最大72時間かかる可能性があります。

3. Fastly にドメインをポイントする

証明書が発行されたので、別の CNAME レコードを追加します。今回は DNS レコードを更新し、ドメインを Fastly にポイントしてトラフィックの配信を開始するためです。

1. TLS domains ページの See DNS details をクリックし、Fastly にあるお客様のドメインの CNAME レコードの値を探します。CNAME レコードの値は単一の文字と、その後に続く .sni.global.fastly.net で構成されます。

   

   この例では、Fastly コントロールパネルに CNAME レコードの値として j.sni.global.fastly.net が表示されています。この値は IPv6 アドレスをサポートしていませんが、dualstack を前に付けることで IPv6 のサポートを有効化することができます (例: dualstack.j.sni.global.fastly.net)。

2. DNS レコードに戻り、別の CNAME レコードを追加します。今回は、Fastly をポイントするドメインに対して追加します。このドメインに対して既存の DNS レコードがある場合、編集または削除する必要があります。

   • hostname に Fastly をポイントするドメインを設定します (例: www.tacolabs.com)。
   ヒント

   apex ドメインを使用している場合、apex ドメインで Fastly を使用するためのガイドの手順を参照してください。

   • address を dualstack.<letter>.sni.global.fastly.net に設定します (単一の文字を証明書と一致するように調整します)。

変更が伝播されるまでしばらくお待ちください。新しく発行された証明書が Fastly のグローバルネットワーク全体に完全にデプロイされるまで20分から1時間かかりますが、DNS プロバイダーと有効期限 (TTL) の値によっては最大72時間かかる場合があります。変更が伝播されると、登録したドメインにアクセスしたときに、Fastly サービスをポイントしたオリジンサイトが表示されます。以下のコマンドを使用して、ステータスを確認することもできます。

$ dig www.tacolabs.com +short
dualstack.t.sni.global.fastly.net.
151.101.198.132

4. 証明書の更新

CNAME レコードが変更されていない場合、Fastly は有効期限が切れる前に TLS 証明書の更新を自動的に行います。証明書の有効期限が切れる10日前に、Fastly は証明書の更新に向けて自動的に DNS チェックを実行します。ただし、DNS レコードが Fastly をポイントしていない場合、または CAA レコードが Certainly をブロックしている場合、30日間の期間が終了した時点で証明書は失効します。詳細については、証明書の管理と更新を参照してください。