すべてのプロダクト
Search

このプロダクト

    VPN Gateway:SSLサーバーの作成と管理

    ドキュメントセンター

    VPN Gateway:SSLサーバーの作成と管理

    最終更新日:Oct 22, 2024

    このトピックでは、SSLサーバーを作成および管理する方法について説明します。 SSLサーバーを使用して、クライアントによる特定のネットワークおよびリソースへのアクセスを許可または禁止できます。 SSL-VPN機能を使用する前に、SSLサーバーを作成する必要があります。

    前提条件

    VPNゲートウェイが作成され、VPNゲートウェイのSSL-VPN機能が有効になります。 詳細については、「VPN gatewayの作成と管理」をご参照ください。

    VPNゲートウェイの作成時にVPNゲートウェイのSSL-VPN機能を無効にすると、VPNゲートウェイの作成後にVPNゲートウェイのSSL-VPN機能を有効にできます。 詳細については、「SSL-VPNの有効化」をご参照ください。

    SSLサーバーの作成

    1. VPN Gatewayコンソール.

    2. 左側のナビゲーションウィンドウで、相互接続 > VPN > SSL サーバー.

    3. 上部のナビゲーションバーで、SSLサーバーが存在するリージョンを選択します。

    4. SSL サーバーページをクリックします。SSLサーバーの作成.

    5. SSLサーバーの作成パネルで、次の表に示すパラメーターを設定し、OK.

      パラメーター

      説明

      名前

      SSL サーバー名。

      リソースグループ

      VPN gatewayが属するリソースグループ。

      SSLサーバーが属するリソースグループは、VPN gatewayが属するリソースグループと同じである必要があります。

      VPN Gateway

      SSLサーバーに関連付けるVPNゲートウェイ。

      VPN gatewayのSSL-VPN機能が有効になっていることを確認します。

      ローカルネットワーク

      クライアントがSSL-VPN接続を使用してアクセスする必要があるローカルCIDRブロック。

      CIDRブロックは、仮想プライベートクラウド (VPC) 、vSwitch、Object Storage service (OSS) やApsaraDB RDSなどのクラウドサービス、またはExpress Connect回線を介してVPCに接続されているデータセンターのCIDRブロックです。

      [ローカルネットワークの追加] をクリックすると、最大5つのローカルCIDRブロックを追加できます。 次のCIDRブロックをローカルCIDRブロックとして指定することはできません。

      • 100.64.0.0~100.127.255.255

      • 127.0.0.0~127.255.255.255

      • 169.254.0.0~169.254.255.255

      • 224.0.0.0~239.255.255.255

      • 255.0.0.0~255.255.255.255

      説明

      指定されたローカルCIDRブロックのサブネットマスクの長さは8〜32ビットである必要があります。

      クライアントサブネット

      IPアドレスがクライアントの仮想ネットワークインターフェイスコントローラー (NIC) に割り当てられるCIDRブロック。 クライアントのプライベートCIDRブロックを入力しないでください。 クライアントがSSL-VPN接続を介してSSLサーバーにアクセスすると、VPNゲートウェイは指定されたクライアントCIDRブロックからクライアントにIPアドレスを割り当てます。 クライアントは、割り当てられたIPアドレスを使用してクラウドリソースにアクセスします。

      クライアントCIDRブロックのIPアドレスの数が、VPNゲートウェイでサポートされているSSL-VPN接続の最大数の4倍以上であることを確認します。

      • 理由

        たとえば、クライアントCIDRブロックとして192.168.0.0/24を指定した場合、システムは最初に、192.168.0.0/24から30ビットの長さのサブネットマスク (192.168.0.4/30など) でサブネットCIDRブロックを分割します。 次に、システムは192.168.0.4/30からのIPアドレスをクライアントに割り当て、他の3つのIPアドレスを使用してネットワーク通信を保証します。 この場合、1つのクライアントが4つのIPアドレスを消費します。 したがって、IPアドレスがクライアントに割り当てられていることを確認するには、クライアントCIDRブロック内のIPアドレスの数が、SSLサーバーが関連付けられているVPNゲートウェイでサポートされているSSL-VPN接続の最大数の4倍以上であることを確認する必要があります。

      • サポートされていないCIDRブロック

        • 100.64.0.0~100.127.255.255

        • 127.0.0.0~127.255.255.255

        • 169.254.0.0~169.254.255.255

        • 224.0.0.0~239.255.255.255

        • 255.0.0.0~255.255.255.255

      • 異なる数のSSL-VPN接続に対する推奨クライアントCIDRブロック

        • SSL-VPN接続数が5の場合、サブネットマスクの長さが27ビット以下のクライアントCIDRブロックを指定することを推奨します。 例: 10.0.0.0/27および10.0.0.0/26。

        • SSL-VPN接続数が10の場合、26ビット以下のサブネットマスクを持つクライアントCIDRブロックを指定することを推奨します。 例: 10.0.0.0/26および10.0.0.0/25。

        • SSL-VPN接続数が20の場合、長さが25ビット以下のサブネットマスクを持つクライアントCIDRブロックを指定することを推奨します。 例: 10.0.0.0/25および10.0.0.0/24。

        • SSL-VPN接続数が50の場合、サブネットマスクの長さが24ビット以下のクライアントCIDRブロックを指定することを推奨します。 例: 10.0.0.0/24および10.0.0.0/23。

        • SSL-VPN接続数が100の場合、23ビット以下のサブネットマスクを持つクライアントCIDRブロックを指定することを推奨します。 例: 10.0.0.0/23および10.0.0.0/22。

        • SSL-VPN接続数が200の場合、長さが22ビット以下のサブネットマスクを持つクライアントCIDRブロックを指定することを推奨します。 例: 10.0.0.0/22および10.0.0.0/21。

        • SSL-VPN接続数が500の場合、21ビット以下のサブネットマスクを持つクライアントCIDRブロックを指定することを推奨します。 例: 10.0.0.0/21および10.0.0.0/20。

        • SSL-VPN接続数が1,000の場合、長さが20ビット以下のサブネットマスクを持つクライアントCIDRブロックを指定することを推奨します。 例: 10.0.0.0/20および10.0.0.0/19。

      重要

      • クライアントCIDRブロックのサブネットマスクの長さは16〜29ビットである必要があります。

      • ローカルCIDRブロックとクライアントCIDRブロックが重複しないようにしてください。

      • 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、またはそれらのサブネットのいずれかをクライアントCIDRブロックとして使用することを推奨します。 パブリックCIDRブロックをクライアントCIDRブロックとして指定する場合は、パブリックCIDRブロックをVPCのユーザーCIDRブロックとして指定する必要があります。 これにより、VPCはパブリックCIDRブロックにアクセスできます。 詳細については、「」をご参照ください。ユーザーCIDRブロックとは何ですか?ユーザーCIDRブロックを設定するにはどうすればよいですか? 「FAQ」トピックのセクション。

      • SSLサーバーを作成すると、クライアントCIDRブロックを指すルートがVPCルートテーブルに自動的に追加されます。 クライアントCIDRブロックを指すルートをVPCルートテーブルに再度追加しないでください。 そうしないと、SSL-VPN接続は期待どおりに機能しません。

      高度な構成

      プロトコル

      SSL-VPN接続で使用されるプロトコル。 デフォルト値: TCP (推奨) 。 有効な値:

      • UDP

      • TCP (推奨)

      ポート

      SSLサーバーによって使用されるポート。 有効な値は1 ~ 65535の範囲です。 デフォルト値: 1194

      説明

      22、2222、22222、9000、9001、9002、7505、80、443、53、68、123、4510、4560、500、および4500のポートはサポートされていません。

      暗号化アルゴリズム

      SSL-VPN接続で使用される暗号化アルゴリズム。 デフォルト値: AES-128-CBC

      • クライアントがTunnelblickまたはOpenVPN V2.4.0以降を使用する場合、SSLサーバーは暗号化アルゴリズムについてクライアントと動的に交渉し、SSLサーバーとクライアントがサポートする最も安全な暗号化アルゴリズムを使用します。 SSLサーバーに指定した暗号化アルゴリズムは有効になりません。

      • クライアントが2.4.0より前のバージョンのOpenVPNを使用している場合、SSLサーバーとクライアントはSSLサーバーに指定した暗号化アルゴリズムを使用します。 SSLサーバーには、次のいずれかの暗号化アルゴリズムを指定できます。

        • AES-128-CBC

        • AES-192-CBC

        • AES-256-CBC

        • none

          noneの値は、暗号化アルゴリズムが使用されないことを示します。

      圧縮の有効化

      SSL-VPN接続で送信されるデータを圧縮するかどうかを指定します。 デフォルト値: いいえ。 有効な値:

      • はい

      • いいえ

      2 要素認証

      VPN gatewayの2要素認証を有効にするかどうかを指定します。 デフォルトでは、2要素認証は無効になっています。

      2要素認証を有効にする場合は、Identity as a Service (IDaaS) インスタンスとIDaaSアプリケーションを指定する必要があります。 2要素認証を有効にすると、クライアントとVPNゲートウェイの間にSSL-VPN接続が作成されると、システムはクライアントで2要素認証を実行します。 最初の認証は、デフォルトのSSLクライアント証明書に基づいて実行されます。 クライアントがSSLクライアント証明書認証に合格した後、2回目の認証では、指定されたIDaaSインスタンスのユーザー名とパスワードを使用してクライアントを認証します。 2番目の認証は、IDaaSのショートメッセージサービス (SMS) 認証機能をサポートしていません。 SSL-VPN接続は、2要素認証に合格した後にのみ作成されます。 これは、SSL-VPN接続セキュリティを効果的に強化する。 詳細については、「2要素認証」をご参照ください。

        説明

        • 初めて2要素認証機能を使用する場合は、まずVPNにクラウドリソースへのアクセスを許可する必要があります。

        • IDaaS EIAM 1.0インスタンスを購入できなくなりました。 Alibaba CloudアカウントにIDaaS EIAM 1.0インスタンスがある場合、2要素認証機能を有効にした後でも、IDaaS EIAM 1.0インスタンスを指定できます。

          Alibaba CloudアカウントにIDaaS EIAM 1.0インスタンスがない場合、2要素認証機能を有効にした後、IDaaS EIAM 2.0インスタンスのみを指定できます。

        • VPN gatewayを更新して、IDaaS EIAM 2.0インスタンスに関連付ける必要がある場合があります。 詳細については、「SSL-VPN接続の2要素認証のためのサポートIDaaS EIAM 2.0インスタンスの変更に関するお知らせ」をご参照ください。

    次に何をすべきか

    SSLサーバーの作成後、SSLサーバーに基づいてSSLクライアント証明書を作成し、ID認証とデータ暗号化のためにクライアントにSSLクライアント証明書をインストールする必要があります。 詳細については、「SSLクライアント証明書の作成と管理」をご参照ください。

    SSLサーバーの変更

    SSLサーバーの作成後、SSLサーバーの設定を変更できます。 SSLサーバーの設定を変更した後、SSLクライアント証明書を再度ダウンロードしてインストールするか、SSL-VPN接続を再開する必要がある場合があります。

    重要

    • SSLサーバーの 高度な構成 セクションの プロトコル圧縮の有効化 、または2 要素認証パラメーターの値を変更すると、SSLサーバーに関連付けられているSSLクライアント証明書は無効になります。 この場合、新しいSSLクライアント証明書を作成し、クライアントに証明書をインストールしてから、SSL-VPN接続を再開する必要があります。

    • SSLサーバーの ローカルネットワーク または クライアントサブネット パラメーターの値を変更すると、SSLサーバーへのすべてのSSL-VPN接続が中断されます。 この場合、クライアントからSSL-VPN接続を再開する必要があります。

    1. VPN gatewayコンソール.

    2. 左側のナビゲーションウィンドウで、相互接続 > VPN > SSL サーバー.

    3. 上部のナビゲーションバーで、SSLサーバーを作成するリージョンを選択します。

    4. SSL サーバーページで、変更するSSLサーバーを見つけて、編集で、操作列を作成します。

    5. SSL サーバーの編集パネルで、SSLサーバーの名前、ローカルCIDRブロック、クライアントCIDRブロック、または詳細設定を変更し、OK.

    SSLサーバーを削除します。

    不要になったSSLサーバーを削除できます。 SSLサーバーが削除されると、SSLサーバーに関連付けられているすべてのSSLクライアント証明書が自動的に削除されます。 この場合、SSLクライアント証明書がインストールされているクライアントのSSL-VPN接続は自動的に切断されます。

    1. VPN Gatewayコンソール.

    2. 左側のナビゲーションウィンドウで、相互接続 > VPN > SSL サーバー.

    3. 上部のナビゲーションバーで、SSLサーバーのリージョンを選択します。

    4. SSL サーバーページで、削除するSSLサーバーを見つけて、削除で、操作列を作成します。

    5. 表示されるメッセージで、情報を確認し、削除.

    API操作によるSSLサーバーの作成と管理

    API操作を呼び出して、Alibaba Cloud SDKAlibaba Cloud CLITerraform、またはResource Orchestration Service (ROS) を使用して、SSLサーバーを作成、クエリ、変更、または削除できます。 Alibaba Cloud SDKを使用してAPI操作を呼び出すことを推奨します。 関連するAPI操作の詳細については、以下のトピックを参照してください。