Server Load Balancer:証明書の管理

前提条件

• NLBインスタンスが作成されました。 詳細については、「NLBインスタンスの作成と管理」をご参照ください。

• サーバーグループが作成されます。 詳細については、「サーバーグループの作成と管理」をご参照ください。

• サーバー証明書を作成します。 サーバー証明書は、証明書管理サービスコンソールで購入またはアップロードされます。 詳細については、「SSL証明書の購入」および「証明書のアップロード」をご参照ください。

• クライアント証明書を作成します。 certificate Management Serviceコンソールで中間CA証明書を購入して有効にし、少なくとも1つのプライベート中間CA証明書を使用できます。 詳細については、「プライベートCAの購入と有効化」をご参照ください。

証明書の追加

1. NLBコンソールにログインします。

2. 上部のナビゲーションバーで、NLBインスタンスがデプロイされています。

3. [インスタンス] ページで、管理するNLBインスタンスを見つけ、次のいずれかの方法でリスナー設定ウィザードを開きます。

   • [操作] 列の [リスナーの作成] をクリックします。

   • NLBインスタンスのIDをクリックし、[リスナー] タブをクリックします。 [リスナー] タブで、リスナーリストの上にある [リスナーの作成] をクリックします。

   • インスタンス ID をクリックします。 インスタンスの詳細ページで、ウィザードの [リスナーの作成] をクリックします。

   • インスタンス ID をクリックします。 インスタンスの詳細ページの右上隅にある [リスナーの作成] をクリックします。

4. リスナーの設定ステップで、パラメータを設定し、次へをクリックします。

   次のセクションでは、主要なパラメータについてのみ説明します。 その他のパラメーターを設定する方法の詳細については、「TCP経由でSSLを使用するリスナーの作成」をご参照ください。

   リスナープロトコル: この例では、TCPSSLが選択されています。

5. [SSL証明書の設定] ステップで、[サーバー証明書] ドロップダウンリストからサーバー証明書を選択します。

   使用できるサーバー証明書がない場合は、ドロップダウンリストで [SSL証明書の作成] をクリックして、証明書管理サービスコンソールに移動します。 その後、サーバー証明書を購入またはアップロードできます。 詳細については、「SSL証明書の購入」および「証明書のアップロード」をご参照ください。

6. オプション: [詳細設定] で [相互認証の有効化] をオンにします。 選択Alibaba CloudCA証明書のソースドロップダウンリストからCA証明書を選択し、デフォルトのCA証明書ドロップダウンリスト。

   一方向認証を使用する場合は、この手順をスキップします。

   使用できるCA証明書がない場合は、[CA証明書の購入] をクリックして作成します。 詳細については、「プライベートCAの購入と有効化」をご参照ください。

   説明

   相互認証を無効にする場合は、次の手順を実行します。

   1. [インスタンス] ページで、管理するNLBインスタンスのIDをクリックします。

   2. [リスナー] タブで、TCP経由でSSLを使用するリスナーのIDをクリックします。

   3. [リスナーの詳細] タブで、[SSL証明書] セクションに移動し、相互認証を無効にします。

7. TLSセキュリティポリシーを選択し、次へをクリックします。

   利用可能なTLSセキュリティポリシーがない場合は、[TLSセキュリティポリシーの作成] をクリックして作成します。 詳細については、「TLSセキュリティポリシー」をご参照ください。

8. サーバーグループの選択ステップで、サーバータイプドロップダウンリストからサーバータイプとバックエンドサーバーグループを選択し、バックエンドサーバーを表示し、次へをクリックします。

9. 構成レビューステップで、設定を確認し、送信をクリックします。

次のステップ

1. NLBコンソールにログインします。

2. 上部のナビゲーションバーで、NLBインスタンスがデプロイされています。

3. [インスタンス] ページで、管理するNLBインスタンスを見つけ、そのIDをクリックします。

4. インスタンスの詳細 ページで、[リスナー] タブをクリックし、管理するリスナーを見つけ、次のいずれかの方法で証明書を管理します。

   • [操作] 列で、証明書の管理 をクリックします。

   • リスナーのIDをクリックします。 [リスナーの詳細] タブで、[SSL証明書] セクションの 証明書の管理 をクリックします。

5. [証明書] タブで、次の操作を実行して証明書を管理します。

   説明

   サービスの中断を防ぐため、証明書の有効期限が切れる前に交換することを推奨します。

   証明書タイプ	API 操作	説明
   サーバー証明書	リスナーのデフォルトのサーバー証明書の変更	[サーバー証明書] タブで、管理する証明書を見つけ、[操作] 列の [変更] をクリックします。 表示されるダイアログボックスで、サーバー証明書を選択し、[OK] をクリックします。 使用できるサーバー証明書がない場合は、ドロップダウンリストで [SSL証明書の作成] をクリックして、証明書管理サービスコンソールに移動します。 その後、サーバー証明書を購入またはアップロードできます。 詳細については、「SSL証明書の購入」および「証明書のアップロード」をご参照ください。
   	証明書の追加	リスナーに証明書を追加できます。 各NLBインスタンスに最大25の証明書を追加できます。 一度に最大15の証明書を追加できます。 [サーバー証明書] タブで、[追加の証明書の追加] をクリックします。 [追加の証明書の追加] ダイアログボックスで、1つ以上のサーバー証明書を選択し、[OK] をクリックします。 利用可能なサーバー証明書がない場合は、右上隅にある [証明書の購入] をクリックして、証明書管理サービスコンソールに移動します。 その後、サーバー証明書を購入またはアップロードできます。 詳細については、「SSL証明書の購入」および「証明書のアップロード」をご参照ください。
   	追加の証明書の削除	使用しなくなった追加のサーバー証明書を削除できます。 追加のサーバー証明書が削除されると、サーバー認証に使用できなくなります。 [サーバー証明書] タブで、削除する追加のサーバー証明書を見つけ、[操作] 列の [削除] をクリックします。 表示されたメッセージボックスで、[OK] をクリックします。
   CA証明書	相互認証の有効化	[CA証明書] タブをクリックし、[相互認証] をオンにするか、[相互認証の有効化] をクリックします。 説明 [リスナーの詳細] タブの [SSL証明書] セクションで相互認証を有効にすることもできます。 表示されるダイアログボックスで、 デフォルトのCA証明書パラメーターをクリックし、OKをクリックします。 利用可能なCA証明書がない場合は、[証明書の購入] をクリックして作成します。 詳細については、「プライベートCAの購入と有効化」をご参照ください。
   	CA証明書の変更	[CA証明書] タブをクリックし、管理する証明書を見つけて、[操作] 列の [変更] をクリックします。 表示されるダイアログボックスで、 デフォルトのCA証明書パラメーターをクリックし、OKをクリックします。 利用可能なCA証明書がない場合は、[証明書の購入] をクリックして作成します。 詳細については、「プライベートCAの購入と有効化」をご参照ください。
   	相互認証の無効化	[CA証明書] タブをクリックし、相互認証をオフにします。 相互認証を無効にすると、リスナーは一方向認証のみをサポートします。

関連ドキュメント

• チュートリアル:

  • 一方向認証を使用しながらTCP経由でSSLオフロードを実行するようにNLBとSSL証明書を設定する方法の詳細については、「NLBを使用してTCP経由でSSLオフロードを有効にする (一方向認証) 」をご参照ください。

  • 相互認証を使用しながらTCP経由でSSLオフロードを実行するようにNLB、SSL証明書、およびCA証明書を設定する方法の詳細については、「NLBを使用してTCP経由でSSLオフロードを有効にする (相互認証) 」をご参照ください。

• API：

  • CreateListener: TCP経由でSSLを使用するリスナーを作成します。

  • AssociateAdditionalCertificatesWithListener: SSL over TCPを使用するリスナーに追加の証明書を関連付けます。

  • DisassociateAdditionalCertificatesWithListener: TCP経由でSSLを使用するリスナーから追加の証明書の関連付けを解除します。