SSL over TCPを使用するリスナーを設定する場合、Alibaba Cloud certificate Management Serviceから証明書を購入するか、必要なサードパーティサーバー証明書と認証局 (CA) 証明書をAlibaba Cloud Certificate Management Serviceにアップロードできます。 次に、Network Load Balancer (NLB) は、証明書管理サービスから証明書を取得して使用します。
背景情報
NLBは、一方向認証と相互認証をサポートしています。 ビジネス要件に基づいて認証方法を選択できます。
一方向認証: クライアントはサーバーのIDを検証する必要があります。 サーバは、クライアントのアイデンティティを検証する必要はない。 クライアントは、認証のために公開鍵証明書をサーバからダウンロードする。 接続は、サーバのアイデンティティが検証された後にのみ確立することができる。 SSL over TCPを使用するリスナーを構成する場合、サーバー証明書をリスナーに関連付ける必要があります。
相互認証: クライアントはサーバーからサーバー証明書 (公開鍵証明書) をダウンロードし、認証のためにクライアント証明書 (公開鍵証明書) をサーバーにアップロードします。 接続は、クライアントとサーバの両方のアイデンティティが検証された後にのみ確立することができる。 相互認証を有効にした後、サーバー証明書をリスナーに関連付ける必要があります。 さらに、クライアントのIDを確認するには、CA証明書をリスナーに関連付ける必要があります。
複数のドメイン名にアクセスしたり、複数のサーバー証明書を追加したい場合は、SSL over TCPを使用するリスナーに追加の証明書を追加できます。 詳細については、「What to do next」をご参照ください。
前提条件
NLBインスタンスが作成されました。 詳細については、「NLBインスタンスの作成と管理」をご参照ください。
サーバーグループが作成されます。 詳細については、「サーバーグループの作成と管理」をご参照ください。
サーバー証明書を作成します。 サーバー証明書は、証明書管理サービスコンソールで購入またはアップロードされます。 詳細については、「SSL証明書の購入」および「証明書のアップロード」をご参照ください。
クライアント証明書を作成します。 certificate Management Serviceコンソールで中間CA証明書を購入して有効にし、少なくとも1つのプライベート中間CA証明書を使用できます。 詳細については、「プライベートCAの購入と有効化」をご参照ください。
証明書の追加
NLBコンソールにログインします。
上部のナビゲーションバーで、NLBインスタンスがデプロイされています。
[インスタンス] ページで、管理するNLBインスタンスを見つけ、次のいずれかの方法でリスナー設定ウィザードを開きます。
[操作] 列の [リスナーの作成] をクリックします。
NLBインスタンスのIDをクリックし、[リスナー] タブをクリックします。 [リスナー] タブで、リスナーリストの上にある [リスナーの作成] をクリックします。
インスタンス ID をクリックします。 インスタンスの詳細ページで、ウィザードの [リスナーの作成] をクリックします。
インスタンス ID をクリックします。 インスタンスの詳細ページの右上隅にある [リスナーの作成] をクリックします。
リスナーの設定ステップで、パラメータを設定し、次へをクリックします。
次のセクションでは、主要なパラメータについてのみ説明します。 その他のパラメーターを設定する方法の詳細については、「TCP経由でSSLを使用するリスナーの作成」をご参照ください。
リスナープロトコル: この例では、TCPSSLが選択されています。
[SSL証明書の設定] ステップで、[サーバー証明書] ドロップダウンリストからサーバー証明書を選択します。
使用できるサーバー証明書がない場合は、ドロップダウンリストで [SSL証明書の作成] をクリックして、証明書管理サービスコンソールに移動します。 その後、サーバー証明書を購入またはアップロードできます。 詳細については、「SSL証明書の購入」および「証明書のアップロード」をご参照ください。
オプション: [詳細設定] で [相互認証の有効化] をオンにします。 選択Alibaba CloudCA証明書のソースドロップダウンリストからCA証明書を選択し、デフォルトのCA証明書ドロップダウンリスト。
一方向認証を使用する場合は、この手順をスキップします。
使用できるCA証明書がない場合は、[CA証明書の購入] をクリックして作成します。 詳細については、「プライベートCAの購入と有効化」をご参照ください。
説明相互認証を無効にする場合は、次の手順を実行します。
[インスタンス] ページで、管理するNLBインスタンスのIDをクリックします。
[リスナー] タブで、TCP経由でSSLを使用するリスナーのIDをクリックします。
[リスナーの詳細] タブで、[SSL証明書] セクションに移動し、相互認証を無効にします。
TLSセキュリティポリシーを選択し、次へをクリックします。
利用可能なTLSセキュリティポリシーがない場合は、[TLSセキュリティポリシーの作成] をクリックして作成します。 詳細については、「TLSセキュリティポリシー」をご参照ください。
サーバーグループの選択ステップで、サーバータイプドロップダウンリストからサーバータイプとバックエンドサーバーグループを選択し、バックエンドサーバーを表示し、次へをクリックします。
構成レビューステップで、設定を確認し、送信をクリックします。
次のステップ
NLBコンソールにログインします。
上部のナビゲーションバーで、NLBインスタンスがデプロイされています。
[インスタンス] ページで、管理するNLBインスタンスを見つけ、そのIDをクリックします。
インスタンスの詳細 ページで、[リスナー] タブをクリックし、管理するリスナーを見つけ、次のいずれかの方法で証明書を管理します。
[操作] 列で、証明書の管理 をクリックします。
リスナーのIDをクリックします。 [リスナーの詳細] タブで、[SSL証明書] セクションの 証明書の管理 をクリックします。
[証明書] タブで、次の操作を実行して証明書を管理します。
説明サービスの中断を防ぐため、証明書の有効期限が切れる前に交換することを推奨します。
証明書タイプ
API 操作
説明
サーバー証明書
リスナーのデフォルトのサーバー証明書の変更
[サーバー証明書] タブで、管理する証明書を見つけ、[操作] 列の [変更] をクリックします。
表示されるダイアログボックスで、サーバー証明書を選択し、[OK] をクリックします。
使用できるサーバー証明書がない場合は、ドロップダウンリストで [SSL証明書の作成] をクリックして、証明書管理サービスコンソールに移動します。 その後、サーバー証明書を購入またはアップロードできます。 詳細については、「SSL証明書の購入」および「証明書のアップロード」をご参照ください。
証明書の追加
リスナーに証明書を追加できます。 各NLBインスタンスに最大25の証明書を追加できます。 一度に最大15の証明書を追加できます。
[サーバー証明書] タブで、[追加の証明書の追加] をクリックします。
[追加の証明書の追加] ダイアログボックスで、1つ以上のサーバー証明書を選択し、[OK] をクリックします。
利用可能なサーバー証明書がない場合は、右上隅にある [証明書の購入] をクリックして、証明書管理サービスコンソールに移動します。 その後、サーバー証明書を購入またはアップロードできます。 詳細については、「SSL証明書の購入」および「証明書のアップロード」をご参照ください。
追加の証明書の削除
使用しなくなった追加のサーバー証明書を削除できます。 追加のサーバー証明書が削除されると、サーバー認証に使用できなくなります。
[サーバー証明書] タブで、削除する追加のサーバー証明書を見つけ、[操作] 列の [削除] をクリックします。
表示されたメッセージボックスで、[OK] をクリックします。
CA証明書
相互認証の有効化
[CA証明書] タブをクリックし、[相互認証] をオンにするか、[相互認証の有効化] をクリックします。
説明[リスナーの詳細] タブの [SSL証明書] セクションで相互認証を有効にすることもできます。
表示されるダイアログボックスで、 デフォルトのCA証明書パラメーターをクリックし、OKをクリックします。
利用可能なCA証明書がない場合は、[証明書の購入] をクリックして作成します。 詳細については、「プライベートCAの購入と有効化」をご参照ください。
CA証明書の変更
[CA証明書] タブをクリックし、管理する証明書を見つけて、[操作] 列の [変更] をクリックします。
表示されるダイアログボックスで、 デフォルトのCA証明書パラメーターをクリックし、OKをクリックします。
利用可能なCA証明書がない場合は、[証明書の購入] をクリックして作成します。 詳細については、「プライベートCAの購入と有効化」をご参照ください。
相互認証の無効化
[CA証明書] タブをクリックし、相互認証をオフにします。 相互認証を無効にすると、リスナーは一方向認証のみをサポートします。
関連ドキュメント
チュートリアル:
一方向認証を使用しながらTCP経由でSSLオフロードを実行するようにNLBとSSL証明書を設定する方法の詳細については、「NLBを使用してTCP経由でSSLオフロードを有効にする (一方向認証) 」をご参照ください。
相互認証を使用しながらTCP経由でSSLオフロードを実行するようにNLB、SSL証明書、およびCA証明書を設定する方法の詳細については、「NLBを使用してTCP経由でSSLオフロードを有効にする (相互認証) 」をご参照ください。
API:
CreateListener: TCP経由でSSLを使用するリスナーを作成します。
AssociateAdditionalCertificatesWithListener: SSL over TCPを使用するリスナーに追加の証明書を関連付けます。
DisassociateAdditionalCertificatesWithListener: TCP経由でSSLを使用するリスナーから追加の証明書の関連付けを解除します。