Anti-DDoS Proxyインスタンスの証明書とTLSセキュリティポリシーの変更 - Anti-DDoS

既定では、Anti-DDoS Proxyインスタンスは組み込みのSSL証明書をクライアントに返します。より高いセキュリティが必要な場合は、カスタムSSL証明書をアップロードし、インスタンスのTransport Layer security (TLS) セキュリティポリシーを変更できます。このトピックでは、カスタムSSL証明書をアップロードし、Anti-DDoS ProxyインスタンスのTLSセキュリティポリシーを変更する方法について説明します。

使用上の注意

IPv4アドレスを使用するAnti-DDoS ProxyインスタンスのSSL証明書とTLSセキュリティポリシーを変更できます。
- SSL証明書: SSL証明書は、国際的に認められたアルゴリズムを使用する証明書にのみ変更できます。
- TLSセキュリティポリシー: Anti-DDoS Proxyで事前定義されている暗号スイートを選択できます。カスタム暗号スイートを設定することもできます。ただし、拡張関数プランを使用するAnti-DDoSプロキシインスタンスのみがカスタム暗号スイートをサポートしています。

次の表に、さまざまな種類のAnti-DDoS ProxyインスタンスでサポートされているTLSバージョンを示します。

TLSバージョン	Anti-DDoS Proxy (中国本土)		Anti-DDoS Proxy (中国本土外)
TLSバージョン	標準関数プラン	拡張関数プラン	標準関数プラン	拡張関数プラン
デフォルトのTLSバージョン	TLS 1.0以降	TLS 1.0以降	TLS 1.1以降	TLS 1.1以降
サポートされているその他のTLSバージョン	TLS 1.2以降	TLS 1.1以降 TLS 1.2以降 TLS 1.3	TLS 1.0以降 TLS 1.2以降	TLS 1.0以降 TLS 1.2以降 TLS 1.3

前提条件

WebサイトサービスがAnti-DDoS Proxyに追加されます。詳細については、「Webサイトの追加」をご参照ください。

手順

Anti-DDoS Proxyコンソールにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
- Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。
- Anti-DDoS Proxy (Outside Chinese Mainland): インスタンスがAnti-DDoS Proxy (Outside Chinese Mainland) インスタンスの場合、[Outside Chinese Mainland] を選択します。
左側のナビゲーションウィンドウで、プロビジョニング > ウェブサイト構成 を選択します。
ページの右上隅にある VIP のデフォルト SSL/TLS 設定 をクリックします。 Anti-DDoSのデフォルトのSSL/TLS設定パネルで、管理するAnti-DDoSインスタンスのIPアドレスを見つけ、操作列の変更をクリックします。 [変更] パネルで、インスタンスのSSL証明書とTLSセキュリティポリシーを変更します。
- SSL 証明書を選択 :
  - 手動アップロード: このオプションを選択した場合は、証明書名 :パラメーターを設定し、証明書ファイルと秘密鍵ファイルの内容をコピーして証明書ファイルとプライベートキーフィールドに貼り付ける必要があります。
    説明
    証明書ファイルがPEM、CER、またはCRT形式の場合は、テキストエディターを使用して証明書ファイルを開き、ファイルの内容をコピーできます。証明書ファイルがPFXやP7Bなどの他の形式の場合は、ファイルをPEM形式に変換してから、テキストエディターを使用してファイルを開き、ファイルの内容をコピーする必要があります。証明書ファイルの形式を変換する方法の詳細については、「証明書の形式を変換する」または「HTTPS証明書をPEM形式に変換する方法」をご参照ください。
    証明書ファイルに複数の証明書 (証明書チェーンなど) が含まれている場合は、これらの証明書の内容を連結し、連結した内容をコピーして 証明書ファイル フィールドに貼り付ける必要があります。
  - 既存の証明書の選択: 証明書管理サービスに証明書をアップロードした場合、このオプションを選択して、[SSL証明書] ドロップダウンリストから証明書を直接選択できます。このオプションをお勧めします。証明書のアップロード方法の詳細については、「SSL証明書のアップロード」をご参照ください。
- TLS セキュリティ設定
  重要
  TLSセキュリティポリシーは、SSL証明書をアップロードした後にのみ変更できます。ドメイン名と同じTLSセキュリティポリシーを使用することを推奨します。ドメイン名のTLSセキュリティポリシーを設定する方法の詳細については、「カスタムTLSセキュリティポリシーの設定」をご参照ください。
  - TLS プロトコルのバージョン: ビジネス要件に基づいてTLSバージョンを選択できます。
  - HTTPS 暗号スイート ：
    - すべての暗号スイート。この設定では、セキュリティは低く、互換性が高くなります。 (デフォルト)
      このオプションには、次の暗号スイートが含まれます。
      ECDHE-ECDSA-AES128-GCM-SHA256
      ECDHE-ECDSA-AES256-GCM-SHA384
      ECDHE-ECDSA-AES128-SHA256
      ECDHE-ECDSA-AES256-SHA384
      ECDHE-RSA-AES128-GCM-SHA256
      ECDHE-RSA-AES256-GCM-SHA384
      ECDHE-RSA-AES128-SHA256
      ECDHE-RSA-AES256-SHA384
      AES128-GCM-SHA256
      AES256-GCM-SHA384
      AES128-SHA256
      AES256-SHA256
      ECDHE-ECDSA-AES128-SHA
      ECDHE-ECDSA-AES256-SHA
      ECDHE-RSA-AES128-SHA
      ECDHE-RSA-AES256-SHA
      AES128-SHA
      AES256-SHA
      DES-CBC3-SHA
    - 強化された暗号スイート。この設定は非常に高いセキュリティレベルを提供しますが、互換性は非常に低くなります。
      このオプションには、次の暗号スイートが含まれます。
      ECDHE-ECDSA-AES256-GCM-SHA384
      ECDHE-ECDSA-AES128-SHA256
      ECDHE-RSA-AES128-GCM-SHA256
      ECDHE-RSA-AES256-GCM-SHA384
    - 強力な暗号スイート。この設定では、セキュリティレベルは高くなりますが、互換性は低くなります。
      このオプションには、次の暗号スイートが含まれます。
      ECDHE-ECDSA-AES128-GCM-SHA256
      ECDHE-ECDSA-AES256-GCM-SHA384
      ECDHE-ECDSA-AES128-SHA256
      ECDHE-ECDSA-AES256-SHA384
      ECDHE-RSA-AES128-GCM-SHA256
      ECDHE-RSA-AES256-GCM-SHA384
      ECDHE-RSA-AES128-SHA256
      ECDHE-RSA-AES256-SHA384
      ECDHE-ECDSA-AES128-SHA
      ECDHE-ECDSA-AES256-SHA
    - カスタム暗号スイート
      このオプションを選択した場合、すべての暗号スイートから1つ以上の暗号スイートを選択する必要があります。
      説明
      拡張機能プランを使用するAnti-DDoS Proxyインスタンスのみが、Custom Cipher Suiteをサポートしています。
変更が完了すると、証明書の設定ステータス 列に カスタム証明書 が表示されます。 デフォルトに復元 をクリックすると、証明書とTLSセキュリティポリシーをデフォルト設定に戻すことができます。