Alibaba Cloud CDN は、HTTPSセキュアアクセラレーションをサポートしています。 Alibaba Cloud CDN コンソールでSSL証明書をデプロイし、HTTPSセキュアアクセラレーションを有効にして、クライアントとPOP (Point of presence) 間のリクエストを暗号化できます。
前提条件
高速化ドメイン名のSSL証明書が用意されています。
SSL証明書を購入する場合は、証明書管理サービスコンソールにログインします。 1つを購入する。
サードパーティの証明機関 (CA) によって発行される証明書は、証明書形式の要件を満たす必要があります。 詳細については、「証明書の形式」をご参照ください。
使用上の注意
PEM 形式の証明書のみがサポートされます。 他の形式の証明書をPEM形式に変換できます。 詳細については、「証明書形式の変換」をご参照ください。
サードパーティのCAによって発行された証明書をアップロードするときは、パスワード保護のない秘密鍵を使用します。
Alibaba Cloud CDN コンソールで、複数のドメイン名に対してcertificate Management Serviceから購入したSSL証明書をデプロイできます。 詳細については、「複数のドメイン名に対するSSL証明書の設定」をご参照ください。
SSL証明書を表示できます。 秘密鍵は機密情報と見なされるため、秘密鍵を表示できません。 証明書関連の情報を機密扱いにします。
以外の環境に秘密鍵を公開したくない場合Alibaba Cloud CDNAlibaba Cloud Certificate Management Serviceが提供する証明書署名要求 (CSR) ツールを使用して、Rivest-Shamir-Adleman (RSA) などのアルゴリズムに基づいてCSRと秘密鍵を生成できます。および楕円曲線暗号化 (ECC) 。 既存のCSRをアップロードすることもできます。 詳細については、「CSRの管理」をご参照ください。
HTTPSを介したエンドツーエンドのデータ転送を有効にする場合は、HTTPSを介したオリジンフェッチを設定する必要があります。 配信元サーバーがHTTPSをサポートしていることを確認します。
課金
Alibaba Cloud CDNでHTTPSを有効にすると、従量課金に基づく静的コンテンツのHTTPSリクエストに対して課金されます。 課金方法。
SSL証明書の設定または更新
Alibaba Cloud CDNコンソール
左側のナビゲーションウィンドウで、ドメイン名.
[ドメイン名] ページで、管理するドメイン名を見つけて、アクション 列の 管理 をクリックします。
ドメイン名の左側のナビゲーションツリーで、HTTPS 設定.
HTTPS 証明書セクション、をクリック変更.
HTTPS 設定ダイアログボックスをオンにするHTTPS セキュアアクセラレーションパラメーターを設定します。
Alibaba Cloud certificate Management Serviceから証明書を購入した場合、Certificate SourceパラメーターをSSL 証明書サービスに設定し、証明書名ドロップダウンリストから購入した証明書を選択します。
説明購入した証明書が利用できない場合は、購入した証明書に関連付けられているドメイン名が高速化ドメイン名であるかどうかを確認します。
サードパーティのCAによって発行された証明書を使用する場合は、certificate Sourceパラメーターをカスタム証明書 (証明書 + プライベートキー) に設定します。 証明書名 パラメーターを設定したら、証明書 (公開鍵) パラメーターと 秘密鍵 パラメーターを設定します。 その後、証明書はAlibaba Cloud certificate Management Serviceに保存されます。 で証明書を表示できます。SSL証明書管理ページに移動します。
パラメーター
説明
証明書名
アップロードする証明書の名前を入力します。
名前には、英数字、ピリオド (.)、アンダースコア (_)、およびハイフン (-) を使用できます。
説明証明書名は一意である必要があります。 で既存の証明書を表示できます。SSL証明書ページに移動します。
証明書が既に存在することを求めるメッセージが表示された場合は、証明書名を変更して証明書を再アップロードします。
証明書 (公開鍵)
PEMエンコードされた証明書ファイルの内容を入力します。
テキストエディターを使用して、PEM形式の証明書ファイルを開くことができます。 次に、Certificate (Public Key) フィールドにコンテンツをコピーします。
詳細については、[証明書 (公開鍵)] フィールドの下にある Pem エンコーディング参照例 をクリックします。
秘密鍵
PEMエンコードされた秘密鍵ファイルの内容を入力します。
テキストエディタを使用して、秘密鍵ファイルをkey形式で開くことができます。 次に、コンテンツを秘密鍵フィールドにコピーします。
詳細については、プライベートキーフィールドの下にある Pem エンコーディング参照例 をクリックします。
説明「 ----- BEGIN private key ----- 」で始まり、「 ----- END PRIVATE KEY ----- 」で終わる秘密鍵を取得した場合は、OpenSSLツールを使用して次のコマンドを実行し、秘密鍵の形式を変換します。 次に、
new_server_key.pem
ファイルの内容を秘密鍵フィールドにコピーします。openssl rsa -in old_server_key.pem -out new_server_key.pem
クリックOK.
HTTPSセキュアアクセラレーションが有効かどうかを確認する
SSL証明書をアップロードした後、証明書は1分以内に有効になります。 SSL証明書が有効かどうかを確認するには、アクセスリソースにHTTPSリクエストを送信します。 URLがブラウザのアドレスバーにロックアイコンで表示されている場合、HTTPSセキュアアクセラレーションは期待どおりに機能しています。
SSL証明書を設定した後、証明書の有効期限をメモします。 証明書の有効期限が切れる前に新しい証明書を設定する必要があります。
HTTPSセキュアアクセラレーションの無効化
HTTPSセキュアアクセラレーションが不要になった場合は、Alibaba Cloud CDN コンソールでこの機能を無効にできます。 HTTPSセキュアアクセラレーションの無効化はすぐに有効になります。 HTTPSセキュアアクセラレーションを無効にすると、HTTPS経由でリソースにアクセスできなくなり、SSL証明書と秘密鍵が保持されなくなります。
HTTPSセキュアアクセラレーションを再度有効にする場合は、別のSSL証明書を選択します。
関連ドキュメント
トピック | 説明 |
クライアントからPOPへのリクエストを強制的にHTTPSにリダイレクトするようにURLリダイレクト機能を設定できます。 | |
HTTP Strict Transport Security (HSTS) を設定すると、ブラウザなどのクライアントはPOPへのHTTPS接続のみを確立してセキュリティを向上させることができます。 | |
POPは証明書検証結果をキャッシュし、クライアントがCAで証明書を検証する必要なしに結果をクライアントに送信します。 これにより、検証時間が短縮される。 |
よくある質問
関連する API 操作
API操作 | 説明 |
証明書署名要求 (CSR) を作成します。 | |
高速化ドメイン名に関する証明書情報を照会します。 | |
ドメイン名の証明書を有効または無効にし、証明書情報を変更します。 | |
指定したドメイン名のSSL証明書を設定します。 | |
SSL証明書によって高速化ドメイン名を照会します。 | |
SSL証明書に関する詳細情報を照会します。 | |
証明書に関する情報を照会します。 | |
指定されたSSL証明書に関する情報を照会します。 | |
ドメイン名の証明書を有効または無効にし、証明書情報を変更します。 | |
Alibaba Cloudアカウント内のSSL証明書に関する情報を照会します。 | |
SSL証明書の有効期限が近づいているか、すでに有効期限が切れているドメイン名の数を照会します。 | |
ドメイン名のShangMi (SM) 証明書を有効または無効にします。 | |
高速化ドメイン名のSM証明書を照会します。 | |
SM証明書の詳細を照会します。 |