すべてのプロダクト
Search

このプロダクト

    Server Load Balancer:HTTPSリクエストに対する一方向認証の設定

    ドキュメントセンター

    Server Load Balancer:HTTPSリクエストに対する一方向認証の設定

    最終更新日:Sep 20, 2024

    このトピックでは、HTTPSリクエストに対して一方向認証を設定する方法について説明します。 この機能を有効にすると、HTTPS通信中にサーバーのIDを認証する必要があるのはクライアントだけです。

    前提条件

    • CLBインスタンスが作成されます。 詳細については、「CLBインスタンスの作成と管理」をご参照ください。

    • vServerグループが作成されます。 vServerグループにECS01とECS02が追加され、異なるアプリケーションがECS01とECS02にデプロイされます。

    • ドメイン名が登録され、ドメイン名のためにインターネットコンテンツプロバイダ (ICP) 番号が取得される。 詳細については、「Alibaba Cloudへのドメイン名の登録」および「概要」をご参照ください。

    • 必要な証明書がデプロイされます。 証明書をサードパーティのサービスプロバイダーから購入した場合は、証明書管理サービスにアップロードする必要があります。 さらに、証明書がドメイン名に関連付けられていることを確認してください。 詳細については、「SSL証明書サービスの使用開始」をご参照ください。

    手順1: サーバー証明書をCLBインスタンスにアップロードする

    HTTPSリスナーを設定する前に、サーバー証明書を購入してCLBインスタンスにアップロードする必要があります。

    1. CLB コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[CLB] > [証明書] を選択します。

    3. [証明書] ページで、[証明書の追加] をクリックします。

    4. [証明書の追加] ページで、パラメーターを設定します。 次の表に、いくつかのパラメーターを示します。 ビジネス要件に基づいて他のパラメーターを設定します。 パラメーターを設定したら、[作成] をクリックします。

      パラメーター

      説明

      証明書ソースの選択

      この例では、Alibaba Cloud証明書が選択されています。

      証明書

      ドロップダウンリストからアップロードする証明書を選択します。

      リージョン

      証明書をデプロイするリージョンを選択します。 証明書がデプロイされていないリージョンでは、証明書を使用できません。 複数のリージョンで証明書を使用する場合は、証明書を使用するすべてのリージョンを選択します。

    ステップ2: HTTPSリスナーの作成

    1. CLB コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[CLB] > [インスタンス] を選択します。

    3. 上部のナビゲーションバーで、CLB インスタンスがデプロイされているリージョンを選択します。

    4. [インスタンス] ページで、管理するCLBインスタンスを見つけ、[操作] 列の [リスナーの設定] をクリックします。

    5. [プロトコルとリスナー] ステップで、パラメーターを設定します。 次の表に、いくつかのパラメーターを示します。 ビジネス要件に基づいて他のパラメーターを設定します。 パラメーターを設定したら、[次へ] をクリックします。

      パラメーター

      説明

      リスナープロトコルの選択

      この例では、HTTPSが選択されています。

      リスナーポート

      この例では、デフォルトのポート443が選択されています。

    6. Certificate Management Serviceステップで、パラメーターを設定します。 次の表に、いくつかのパラメーターを示します。 ビジネス要件に基づいて他のパラメーターを設定します。 パラメーターを設定したら、[次へ] をクリックします。

      パラメーター

      説明

      サーバー証明書

      ステップ1でアップロードした証明書を選択します。

    7. [バックエンドサーバー] ステップで、パラメーターを設定します。 次の表に、いくつかのパラメーターを示します。 ビジネス要件に基づいて他のパラメーターを設定します。 パラメーターを設定したら、[次へ] をクリックします。

      パラメーター

      説明

      サーバーグループタイプ

      この例では、vServerグループが選択されています。

      サーバーグループ

      使用するサーバーグループを選択します。

    8. [ヘルスチェック] ステップで、ビジネス要件に基づいてパラメーターを設定します。 パラメーターを設定したら、[次へ] をクリックします。

    9. [確認] ステップで、パラメーターが正しく設定されているかどうかを確認し、[送信] をクリックします。

    手順3: ドメイン名解決の設定

    1. CLB コンソールにログインします。

    2. 上部のナビゲーションバーで、CLBインスタンスがデプロイされているリージョンを選択します。

    3. 管理するCLBを見つけ、IPアドレスをコピーします。

    4. Aレコードを追加するには、次の手順を実行します。

      1. Alibaba Cloud DNS コンソールにログオンします。

      2. [ドメイン名の解決] ページで、ドメイン追加 をクリックします。

      3. ドメイン追加 ダイアログボックスで、ホストのドメイン名を入力し、[OK] をクリックします。

        重要

        Aレコードを作成する前に、TXTレコードを使用してドメイン名の所有権を確認する必要があります。

      4. 管理するドメイン名を見つけて、[操作] 列の [設定] をクリックします。

      5. [DNS 設定] ページで、[レコードの追加] をクリックします。

      6. [DNSレコードの追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。

        パラメーター

        説明

        データ型

        ドロップダウンリストからAを選択します。

        ホスト

        ドメイン名のプレフィックスを入力します。

        DNSリクエストソース

        [デフォルト] を選択します。

        レコード値

        CLBインスタンスのIPアドレスを入力します。

        TTL

        DNSサーバーにキャッシュされるCNAMEレコードの有効期限 (TTL) 値を選択します。 この例では、デフォルト値が使用されます。

    ステップ4: ネットワーク接続のテスト

    CLBインスタンスのドメイン名をブラウザのアドレスバーに入力し、ページを複数回更新して、リクエストがバックエンドアプリケーションに転送されるかどうかをテストします。 以下の図は、要求がECS01およびECS02に交互に転送されることを示す。

    ECS01ECS02

    関連ドキュメント

    • サードパーティ証明書の要件の詳細については、「証明書の要件」をご参照ください。 サードパーティ証明書をアップロードする方法の詳細については、「サードパーティ証明書のアップロード」をご参照ください。

    • HTTPSリスナーの作成方法の詳細については、「HTTPSリスナーの追加」をご参照ください。

    • セキュリティに対する要件が高い場合は、相互認証を使用できます。これは、通信を確立する前に、クライアントとサーバーが相互に認証する必要があります。 詳細については、「HTTPSリスナーの相互認証の設定」をご参照ください。