Application Load Balancer (ALB) の一方向認証または相互認証を設定するには、Alibaba CloudからSSL証明書を購入するか、サードパーティサーバー証明書と認証局 (CA) 証明書をアップロードする必要があります。 ALBは証明書を使用して認証を実行します。
背景情報
ALBは、一方向認証と相互認証をサポートしています。
一方向認証: クライアントはサーバーのIDを検証する必要があります。 サーバは、クライアントのアイデンティティを検証する必要はない。 HTTPSリスナーまたはQUICリスナーを設定する場合は、サーバー証明書をリスナーに関連付ける必要があります。
相互認証: クライアントはサーバーのIDを確認する必要があります。 サーバーはクライアントのIDを検証する必要があります。 接続は、両側が認証された後にのみ確立できます。 相互認証を有効にした後、サーバー証明書をリスナーに関連付ける必要があります。 さらに、クライアントのIDを確認するには、CA証明書をリスナーに関連付ける必要があります。
制限事項
Basic ALBインスタンスは相互認証をサポートしていません。
QUICリスナーは相互認証をサポートしていません。
HTTPリスナーは、一方向認証または相互認証をサポートしていません。
前提条件
標準またはWAF対応のALBインスタンスが作成されています。 詳細については、「ALBインスタンスの作成」をご参照ください。
バックエンドサーバーグループが作成されます。 詳細については、「サーバーグループの作成と管理」をご参照ください。
サーバー証明書は、証明書管理サービスコンソールで購入またはアップロードされます。 詳細については、「SSL証明書の購入」および「SSL証明書のアップロード」をご参照ください。
certificate Management Serviceコンソールで中間CA証明書を購入し、少なくとも1つのプライベート中間CA証明書を使用できます。 詳細については、「プライベートCAの購入と有効化」をご参照ください。
証明書の追加
ALBコンソールにログインします。
上部のナビゲーションバーで、ALBインスタンスがデプロイされているリージョンを選択します。
インスタンスページで、管理するALBインスタンスのIDをクリックします。
次のいずれかの方法を使用して、リスナー構成ウィザードを開きます。
インスタンス ページで、管理するALBインスタンスを見つけ、操作 列の [リスナーの作成] をクリックします。
インスタンス ページで、管理するALBインスタンスのIDをクリックします。 リスナー タブで、[リスナーの作成] をクリックします。
リスナーの設定ステップで、次のパラメータを設定し、次へをクリックします。
次の表に、主要なパラメーターのみを示します。 その他のパラメーターの詳細については、「HTTPSリスナーの追加」をご参照ください。
パラメーター
説明
リスナープロトコル
リスナープロトコルを選択します。 ビジネス要件に基づいて、HTTPSまたはQUICを選択できます。
説明QUICリスナーは相互認証をサポートしていません。
HTTPリスナーは、一方向認証または相互認証をサポートしていません。
この例では、HTTPSが選択されています。
リスナーポート
ALBインスタンスがリッスンするポートを選択します。 ALBインスタンスは、指定されたポートでリクエストをリッスンし、リクエストをバックエンドサーバーに転送します。 有効な値: -1 から 65535 ほとんどの場合、ポート80はHTTPに使用され、ポート443はHTTPSに使用されます。
この例では、ポート443が使用される。
リスナー名
リスナーの名前を入力します。
詳細設定
[変更] をクリックして、詳細設定を設定できます。
SSL 証明書の設定ステップで、サーバー証明書を選択します。
使用できるサーバー証明書がない場合は、ドロップダウンリストで [SSL証明書の作成] をクリックして、証明書管理サービスコンソールに移動します。 その後、サーバー証明書を購入またはアップロードできます。 詳細については、「SSL証明書の購入」および「SSL証明書のアップロード」をご参照ください。
相互認証を有効にするか、TLSセキュリティポリシーを設定するには、変更次の詳細設定.
[詳細設定] セクションの [相互認証の有効化] をオンにします。 選択Alibaba CloudCA証明書のソースドロップダウンリストからCA証明書を選択し、デフォルトのCA証明書ドロップダウンリスト。
使用できるCA証明書がない場合は、[CA証明書の購入] をクリックして作成します。 詳細については、「プライベートCAの購入と有効化」をご参照ください。
説明標準およびWAF対応のALBインスタンスのみが相互認証をサポートしています。 Basic ALBインスタンスは相互認証をサポートしていません。
この機能を有効にした後に相互認証を無効にする場合は、次の操作を実行します。
[インスタンス] ページで、管理するNLBインスタンスのIDをクリックします。
[リスナー] タブで、管理するHTTPSリスナーのIDをクリックします。
[リスナーの詳細] タブで、[SSL証明書] セクションの相互認証を無効にします。
TLSセキュリティポリシーを選択し、次へをクリックします。
利用可能なTLSセキュリティポリシーがない場合は、[TLSセキュリティポリシーの作成] をクリックして作成します。
TLSセキュリティポリシーには、HTTPSリスナーで使用できるTLSプロトコルバージョンと暗号スイートが含まれています。 詳細については、「TLSセキュリティポリシー」をご参照ください。
サーバーグループの選択ステップで、サーバーグループを選択し、バックエンドサーバーを表示し、次へをクリックします。
確定ステップで、設定を確認し、送信 をクリックします。
その他
ALBコンソールにログインします。
上部のナビゲーションバーで、ALBインスタンスがデプロイされているリージョンを選択します。
インスタンスページで、管理するALBインスタンスのIDをクリックします。
リスナータブで、管理するリスナーを見つけて、アクション列で証明書の管理をクリックします。
証明書タブで、ビジネス要件に基づいて次の操作を実行できます。
説明サービスへの悪影響を防ぐため、証明書の有効期限が切れる前に更新することを推奨します。
証明書タイプ
操作
手順
サーバー証明書
既定のサーバー証明書の置き換え
[サーバー証明書] タブで、デフォルトのサーバー証明書を見つけ、[操作] 列の [変更] をクリックします。
表示されるダイアログボックスで、サーバー証明書を選択し、[OK] をクリックします。
使用できるサーバー証明書がない場合は、ドロップダウンリストで [SSL証明書の作成] をクリックして、証明書管理サービスコンソールに移動します。 その後、サーバー証明書を購入またはアップロードできます。 詳細については、「SSL証明書の購入」および「SSL証明書のアップロード」をご参照ください。
サーバー証明書の追加
追加のサーバー証明書をリスナーに追加できます。
[サーバー証明書] タブで、[EV証明書の追加] をクリックします。
[追加の証明書の追加] ダイアログボックスで、サーバー証明書を選択し、[OK] をクリックします。
利用可能なサーバー証明書がない場合は、右上隅にある [証明書の購入] をクリックして、[証明書管理サービス] コンソールに移動します。 その後、サーバー証明書を購入またはアップロードできます。 詳細については、「SSL証明書の購入」および「SSL証明書のアップロード」をご参照ください。
追加のサーバー証明書の削除
使用しなくなった追加のサーバー証明書を削除できます。 追加のサーバー証明書が削除されると、サーバー認証に使用できなくなります。
[サーバー証明書] タブで、削除するサーバー証明書を見つけ、[操作] 列の [削除] をクリックします。
表示されたメッセージボックスで、[OK] をクリックします。
CA証明書
相互認証の有効化または無効化
相互認証を有効にする: 相互認証を初めて有効にする場合は、次の手順を実行します。
[CA証明書] タブをクリックし、[相互認証] をオンにするか、[相互認証の有効化] をクリックします。
[相互認証の有効化] ダイアログボックスで、CA証明書のソースとして [Alibaba Cloud] を選択し、[デフォルトのCA証明書] ドロップダウンリストからCA証明書を選択し、[OK] をクリックします。
使用できるCA証明書がない場合は、[CA証明書の購入] をクリックして作成します。 詳細については、「プライベートCAの購入と有効化」をご参照ください。
相互認証を無効にする: リスナーの相互認証が有効になっている場合は、[CA証明書] タブをクリックし、[相互認証] をオフにします。 相互認証が無効になると、一方向認証のみがサポートされます。
CA証明書の置き換え
[CA証明書] タブをクリックし、デフォルトのCA証明書を見つけて、[操作] 列の [変更] をクリックします。
[デフォルトのCA証明書の変更] ダイアログボックスで、CA証明書のソースとして [Alibaba Cloud] を選択し、[デフォルトのCA証明書] ドロップダウンリストからCA証明書を選択し、[OK] をクリックします。
使用できるCA証明書がない場合は、[CA証明書の購入] をクリックして作成します。 詳細については、「プライベートCAの購入と有効化」をご参照ください。
関連ドキュメント
チュートリアル:
HTTPS経由で複数のドメイン名を提供するようにALBインスタンスを設定する方法の詳細については、「Configure an ALB instance to serve multiple domain names over HTTPS」をご参照ください。
HTTPSリスナーで相互認証を設定する方法の詳細については、「HTTPSリスナーで相互認証を設定する」をご参照ください。
データ転送用にエンドツーエンドHTTPS暗号化を設定する方法の詳細については、「データ転送用にエンドツーエンドHTTPS暗号化を設定する」をご参照ください。
API:
CreateListener: HTTP、HTTPS、またはQUICリスナーを作成します。
AssociateAdditionalCertificatesWithListener: 追加の証明書をHTTPSまたはQUICリスナーに関連付けます。
DissociateAdditionalCertificatesFromListener: HTTPSまたはQUICリスナーから追加の証明書の関連付けを解除します。