すべてのプロダクト
Search
ドキュメントセンター

Server Load Balancer:証明書の管理

最終更新日:Sep 14, 2024

Application Load Balancer (ALB) の一方向認証または相互認証を設定するには、Alibaba CloudからSSL証明書を購入するか、サードパーティサーバー証明書と認証局 (CA) 証明書をアップロードする必要があります。 ALBは証明書を使用して認証を実行します。

背景情報

ALBは、一方向認証と相互認証をサポートしています。

  • 一方向認証: クライアントはサーバーのIDを検証する必要があります。 サーバは、クライアントのアイデンティティを検証する必要はない。 HTTPSリスナーまたはQUICリスナーを設定する場合は、サーバー証明書をリスナーに関連付ける必要があります。

  • 相互認証: クライアントはサーバーのIDを確認する必要があります。 サーバーはクライアントのIDを検証する必要があります。 接続は、両側が認証された後にのみ確立できます。 相互認証を有効にした後、サーバー証明書をリスナーに関連付ける必要があります。 さらに、クライアントのIDを確認するには、CA証明書をリスナーに関連付ける必要があります。

制限事項

  • Basic ALBインスタンスは相互認証をサポートしていません。

  • QUICリスナーは相互認証をサポートしていません。

  • HTTPリスナーは、一方向認証または相互認証をサポートしていません。

前提条件

  • 標準またはWAF対応のALBインスタンスが作成されています。 詳細については、「ALBインスタンスの作成」をご参照ください。

  • バックエンドサーバーグループが作成されます。 詳細については、「サーバーグループの作成と管理」をご参照ください。

  • サーバー証明書は、証明書管理サービスコンソールで購入またはアップロードされます。 詳細については、「SSL証明書の購入」および「SSL証明書のアップロード」をご参照ください。

  • certificate Management Serviceコンソールで中間CA証明書を購入し、少なくとも1つのプライベート中間CA証明書を使用できます。 詳細については、「プライベートCAの購入と有効化」をご参照ください。

証明書の追加

  1. ALBコンソールにログインします。

  2. 上部のナビゲーションバーで、ALBインスタンスがデプロイされているリージョンを選択します。

  3. インスタンスページで、管理するALBインスタンスのIDをクリックします。

  4. 次のいずれかの方法を使用して、リスナー構成ウィザードを開きます。

    • インスタンス ページで、管理するALBインスタンスを見つけ、操作 列の [リスナーの作成] をクリックします。

    • インスタンス ページで、管理するALBインスタンスのIDをクリックします。 リスナー タブで、[リスナーの作成] をクリックします。

  5. リスナーの設定ステップで、次のパラメータを設定し、次へをクリックします。

    次の表に、主要なパラメーターのみを示します。 その他のパラメーターの詳細については、「HTTPSリスナーの追加」をご参照ください。

    パラメーター

    説明

    リスナープロトコル

    リスナープロトコルを選択します。 ビジネス要件に基づいて、HTTPSまたはQUICを選択できます。

    説明
    • QUICリスナーは相互認証をサポートしていません。

    • HTTPリスナーは、一方向認証または相互認証をサポートしていません。

    この例では、HTTPSが選択されています。

    リスナーポート

    ALBインスタンスがリッスンするポートを選択します。 ALBインスタンスは、指定されたポートでリクエストをリッスンし、リクエストをバックエンドサーバーに転送します。 有効な値: -1 から 65535 ほとんどの場合、ポート80はHTTPに使用され、ポート443はHTTPSに使用されます。

    この例では、ポート443が使用される。

    リスナー名

    リスナーの名前を入力します。

    詳細設定

    [変更] をクリックして、詳細設定を設定できます。

  6. SSL 証明書の設定ステップで、サーバー証明書を選択します。

    使用できるサーバー証明書がない場合は、ドロップダウンリストで [SSL証明書の作成] をクリックして、証明書管理サービスコンソールに移動します。 その後、サーバー証明書を購入またはアップロードできます。 詳細については、「SSL証明書の購入」および「SSL証明書のアップロード」をご参照ください。

  7. 相互認証を有効にするか、TLSセキュリティポリシーを設定するには、変更次の詳細設定.

  8. [詳細設定] セクションの [相互認証の有効化] をオンにします。 選択Alibaba CloudCA証明書のソースドロップダウンリストからCA証明書を選択し、デフォルトのCA証明書ドロップダウンリスト。

    使用できるCA証明書がない場合は、[CA証明書の購入] をクリックして作成します。 詳細については、「プライベートCAの購入と有効化」をご参照ください。

    説明
    • 標準およびWAF対応のALBインスタンスのみが相互認証をサポートしています。 Basic ALBインスタンスは相互認証をサポートしていません。

    • この機能を有効にした後に相互認証を無効にする場合は、次の操作を実行します。

      1. [インスタンス] ページで、管理するNLBインスタンスのIDをクリックします。

      2. [リスナー] タブで、管理するHTTPSリスナーのIDをクリックします。

      3. [リスナーの詳細] タブで、[SSL証明書] セクションの相互認証を無効にします。

  9. TLSセキュリティポリシーを選択し、次へをクリックします。

    利用可能なTLSセキュリティポリシーがない場合は、[TLSセキュリティポリシーの作成] をクリックして作成します。

    TLSセキュリティポリシーには、HTTPSリスナーで使用できるTLSプロトコルバージョンと暗号スイートが含まれています。 詳細については、「TLSセキュリティポリシー」をご参照ください。

  10. サーバーグループの選択ステップ、サーバーグループを選択し、バックエンドサーバーを表示し、次へをクリックします。

  11. 確定ステップ、設定を確認し、送信 をクリックします。

その他

  1. ALBコンソールにログインします。

  2. 上部のナビゲーションバーで、ALBインスタンスがデプロイされているリージョンを選択します。

  3. インスタンスページで、管理するALBインスタンスのIDをクリックします。

  4. リスナータブで、管理するリスナーを見つけて、アクション列で証明書の管理をクリックします。

  5. 証明書タブで、ビジネス要件に基づいて次の操作を実行できます。

    説明

    サービスへの悪影響を防ぐため、証明書の有効期限が切れる前に更新することを推奨します。

    証明書タイプ

    操作

    手順

    サーバー証明書

    既定のサーバー証明書の置き換え

    1. [サーバー証明書] タブで、デフォルトのサーバー証明書を見つけ、[操作] 列の [変更] をクリックします。

    2. 表示されるダイアログボックスで、サーバー証明書を選択し、[OK] をクリックします。

      使用できるサーバー証明書がない場合は、ドロップダウンリストで [SSL証明書の作成] をクリックして、証明書管理サービスコンソールに移動します。 その後、サーバー証明書を購入またはアップロードできます。 詳細については、「SSL証明書の購入」および「SSL証明書のアップロード」をご参照ください。

    サーバー証明書の追加

    追加のサーバー証明書をリスナーに追加できます。

    1. [サーバー証明書] タブで、[EV証明書の追加] をクリックします。

    2. [追加の証明書の追加] ダイアログボックスで、サーバー証明書を選択し、[OK] をクリックします。

      利用可能なサーバー証明書がない場合は、右上隅にある [証明書の購入] をクリックして、[証明書管理サービス] コンソールに移動します。 その後、サーバー証明書を購入またはアップロードできます。 詳細については、「SSL証明書の購入」および「SSL証明書のアップロード」をご参照ください。

    追加のサーバー証明書の削除

    使用しなくなった追加のサーバー証明書を削除できます。 追加のサーバー証明書が削除されると、サーバー認証に使用できなくなります。

    1. [サーバー証明書] タブで、削除するサーバー証明書を見つけ、[操作] 列の [削除] をクリックします。

    2. 表示されたメッセージボックスで、[OK] をクリックします。

    CA証明書

    相互認証の有効化または無効化

    • 相互認証を有効にする: 相互認証を初めて有効にする場合は、次の手順を実行します。

      1. [CA証明書] タブをクリックし、[相互認証] をオンにするか、[相互認証の有効化] をクリックします。

      2. [相互認証の有効化] ダイアログボックスで、CA証明書のソースとして [Alibaba Cloud] を選択し、[デフォルトのCA証明書] ドロップダウンリストからCA証明書を選択し、[OK] をクリックします。

        使用できるCA証明書がない場合は、[CA証明書の購入] をクリックして作成します。 詳細については、「プライベートCAの購入と有効化」をご参照ください。

    • 相互認証を無効にする: リスナーの相互認証が有効になっている場合は、[CA証明書] タブをクリックし、[相互認証] をオフにします。 相互認証が無効になると、一方向認証のみがサポートされます。

    CA証明書の置き換え

    1. [CA証明書] タブをクリックし、デフォルトのCA証明書を見つけて、[操作] 列の [変更] をクリックします。

    2. [デフォルトのCA証明書の変更] ダイアログボックスで、CA証明書のソースとして [Alibaba Cloud] を選択し、[デフォルトのCA証明書] ドロップダウンリストからCA証明書を選択し、[OK] をクリックします。

      使用できるCA証明書がない場合は、[CA証明書の購入] をクリックして作成します。 詳細については、「プライベートCAの購入と有効化」をご参照ください。

関連ドキュメント