このトピックでは、Application Load Balancer (ALB) のカスタムTLSセキュリティポリシーを設定する方法について説明します。 ほとんどの場合、Alibaba CloudにデプロイされたWebサイトまたはアプリケーションは、HTTPSを使用してデータ送信を暗号化します。 ALBは、HTTPSを使用するサービスのセキュリティを強化するために、一般的に使用されるTLSセキュリティポリシーを提供します。 ALBでは、カスタムTLSセキュリティポリシーを設定することもできます。 たとえば、使用するTLSバージョンを指定したり、特定のTLS暗号スイートを無効にしたりできます。
制限事項
Basic ALBインスタンスは、カスタムTLSセキュリティポリシーをサポートしていません。 標準およびWAF対応のALBインスタンスは、カスタムTLSセキュリティポリシーをサポートしています。 基本ALBインスタンスを使用し、カスタムTLSセキュリティポリシーを使用する場合は、ALBインスタンスを標準またはWAF対応のエディションにアップグレードします。 詳細については、「ALBインスタンスの設定の変更」をご参照ください。
カスタムTLSセキュリティポリシーにTLSバージョンと暗号スイートを指定する場合は、TLSバージョンと暗号スイートがブラウザなどのクライアントでサポートされていることを確認してください。 そうしないと、クライアントはサーバーへの接続を確立できない場合があります。
前提条件
ALBインスタンスが作成されました。 詳細については、「ALBインスタンスの作成」をご参照ください。
サーバーグループが作成されます。 詳細については、「サーバーグループの作成と管理」をご参照ください。
ECS01とECS02がサーバーグループに追加され、アプリケーションがECS01とECS02にデプロイされます。
ドメイン名が登録され、ドメイン名のためのインターネット・コンテンツ・プロバイダ (ICP) 番号が取得される。 詳細については、「Alibaba Cloudへのドメイン名の登録」および「ICP登録アプリケーションの概要」をご参照ください。
必要な証明書がデプロイされます。 証明書をサードパーティのサービスプロバイダーから購入した場合は、証明書管理サービスにアップロードする必要があります。 さらに、証明書がドメイン名に関連付けられていることを確認してください。 証明書の作成方法の詳細については、「SSL Certificates Serviceの使用を開始する」をご参照ください。
手順1: カスタムTLSセキュリティポリシーの作成
手順2: HTTPSリスナーにカスタムTLSセキュリティポリシーを適用
HTTPSリスナーを作成し、カスタムTLSセキュリティポリシーを適用する
ALB コンソールにログインします。
上部のナビゲーションバーで、ALBインスタンスがデプロイされているリージョンを選択します。
左側のメニュで、インスタンスをクリックします。
[インスタンス] ページで、ALBインスタンスを見つけ、[操作] 列の [リスナーの作成] をクリックします。
[リスナーの設定] ステップで、パラメーターを設定します。 次の表に、いくつかのパラメーターを示します。 ビジネス要件に基づいて他のパラメーターを設定するか、デフォルト値を維持します。 パラメーターを設定したら、[次へ] をクリックします。
パラメーター
説明
リスナープロトコル
この例では、HTTPSが選択されています。
リスナーポート
この例では、ポート443が選択されている。
[SSL証明書の設定] ステップで、パラメーターを設定します。 次の表に、いくつかのパラメーターを示します。 ビジネス要件に基づいて他のパラメーターを設定するか、デフォルト値を維持します。 パラメーターを設定したら、[次へ] をクリックします。
パラメーター
説明
サーバー証明書
サーバー証明書を選択します。
TLSセキュリティポリシー
手順1で作成したカスタムTLSセキュリティポリシーを選択します。
[サーバーグループの選択] ステップで、パラメーターを設定します。 次の表に、いくつかのパラメーターを示します。 ビジネス要件に基づいて他のパラメーターを設定するか、デフォルト値を維持します。 パラメーターを設定したら、[次へ] をクリックします。
パラメーター
説明
サーバーグループ
サーバーグループを選択します。
[設定の確認] ステップで、パラメーターが有効かどうかを確認し、[送信] をクリックします。
既存のHTTPSリスナーにカスタムTLSセキュリティポリシーを適用する
ALB コンソールにログインします。
上部のナビゲーションバーで、ALBインスタンスがデプロイされているリージョンを選択します。
左側のメニュで、インスタンスをクリックします。
[インスタンス] ページで、管理するALBインスタンスのIDをクリックします。
[リスナー] タブで、管理するHTTPSリスナーのIDをクリックします。
[SSL証明書] セクションで、[TLSセキュリティポリシー] の横にある
アイコンをクリックします。 [TLSセキュリティポリシーの編集] ダイアログボックスで、作成したカスタムTLSポリシーを選択し、[保存] をクリックします。
ステップ3: DNSレコードを追加する
にログインします。ALBコンソール.
上部のナビゲーションバーで、ALBインスタンスがデプロイされているリージョンを選択します。
DNSレコードを追加するALBインスタンスを見つけ、ドメイン名をコピーします。
CNAMEレコードを作成するには、次の手順を実行します。
Alibaba Cloud DNS コンソールにログオンします。
[ドメイン名の解決] ページで、[ドメイン名の追加] をクリックします。
[ドメイン名の追加] ダイアログボックスで、ホストのドメイン名を入力し、[OK] をクリックします。
重要CNAMEレコードを作成する前に、TXTレコードを使用してドメイン名の所有権を確認する必要があります。
管理するドメイン名を見つけて、[操作] 列の [設定] をクリックします。
[DNS設定] ページで、[DNSレコードの追加] をクリックします。
[レコードの追加] パネルで、次のパラメーターを設定し、[確認] をクリックします。
パラメーター
説明
レコードタイプ
ドロップダウンリストから [CNAME] を選択します。
ホスト名
ドメイン名のプレフィックス (
wwwなど) を入力します。DNSリクエストソース
[デフォルト] を選択します。
レコード値
ALBインスタンスのドメイン名であるCNAMEを入力します。
TTL
DNSサーバーにキャッシュされるCNAMEレコードの有効期限 (TTL) 値を選択します。 この例では、デフォルト値が使用されます。
ステップ4: Verify the result
ブラウザのアドレスバーにALBインスタンスのドメイン名を入力し、ページを複数回更新します。 リクエストがHTTPS経由でECS01とECS02の間で交互に配信されるかどうかを確認します。
関連ドキュメント
HTTPSリスナーの詳細については、「HTTPSリスナーの追加」をご参照ください。
TLSセキュリティポリシー、デフォルトのTLSセキュリティポリシー、およびさまざまなTLSセキュリティポリシーでサポートされている暗号スイートの詳細については、「TLSセキュリティポリシー」をご参照ください。
HTTPS経由で複数のドメイン名を提供するようにALBインスタンスを設定する方法の詳細については、「Configure an ALB instance to serve multiple domain names over HTTPS」をご参照ください。
データ転送用にエンドツーエンドHTTPS暗号化を設定する方法の詳細については、「データ転送用にエンドツーエンドHTTPS暗号化を設定する」をご参照ください。
ビジネスクリティカルなサービスの場合、HTTPSリスナーで相互認証を有効にしてセキュリティを向上させることができます。 詳細については、「HTTPSリスナーの相互認証の設定」をご参照ください。