このトピックでは、SSLサーバーを作成および管理する方法について説明します。 SSLサーバーを使用して、クライアントによる特定のネットワークおよびリソースへのアクセスを許可または禁止できます。 SSL-VPN機能を使用する前に、SSLサーバーを作成する必要があります。
前提条件
VPNゲートウェイが作成され、VPNゲートウェイのSSL-VPN機能が有効になります。 詳細については、「VPN gatewayの作成と管理」をご参照ください。
VPNゲートウェイの作成時にVPNゲートウェイのSSL-VPN機能を無効にすると、VPNゲートウェイの作成後にVPNゲートウェイのSSL-VPN機能を有効にできます。 詳細については、「SSL-VPNの有効化」をご参照ください。
SSLサーバーの作成
VPN Gatewayコンソールにログインします。
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、SSLサーバーが存在するリージョンを選択します。
SSL サーバーページをクリックします。SSLサーバーの作成.
SSLサーバーの作成パネルで、次の表に示すパラメーターを設定し、OK.
パラメーター
説明
名前
SSL サーバー名。
リソースグループクラスターが属するリソースグループを選択します。 リソースグループを使用して、Alibaba Cloudアカウント内のリソースをカテゴリおよびグループ別に管理できます。 各リソースを個別に処理することなく、グループに基づいて権限の管理、リソースのデプロイ、リソースの監視を行うことができます。 デフォルトのリソースグループ
VPN gatewayが属するリソースグループ。
SSLサーバーが属するリソースグループは、VPN gatewayが属するリソースグループと同じである必要があります。
VPN Gateway
SSLサーバーに関連付けるVPNゲートウェイを選択します。
VPN gatewayのSSL-VPN機能が有効になっていることを確認します。
ローカルネットワーク
クライアントがSSL-VPN接続を使用してアクセスする必要があるローカルCIDRブロック。
CIDRブロックは、仮想プライベートクラウド (VPC) 、vSwitch、Object Storage service (OSS) やApsaraDB RDSなどのクラウドサービス、またはExpress Connect回線を介してVPCに接続されているデータセンターのCIDRブロックです。
[ローカルネットワークの追加] をクリックすると、最大5つのローカルCIDRブロックを追加できます。 次のCIDRブロックをローカルCIDRブロックとして指定することはできません。
100.64.0.0~100.127.255.255
127.0.0.0~127.255.255.255
169.254.0.0~169.254.255.255
224.0.0.0~239.255.255.255
255.0.0.0~255.255.255.255
説明指定されたローカルCIDRブロックのサブネットマスクの長さは8〜32ビットである必要があります。
クライアントサブネット
IPアドレスがクライアントの仮想ネットワークインターフェイスコントローラー (NIC) に割り当てられるCIDRブロック。 クライアントのプライベートCIDRブロックを入力しないでください。 クライアントがSSL-VPN接続を介してSSLサーバーにアクセスすると、VPNゲートウェイは指定されたクライアントCIDRブロックからクライアントにIPアドレスを割り当てます。 クライアントは、割り当てられたIPアドレスを使用してクラウドリソースにアクセスします。
クライアントCIDRブロックのIPアドレスの数が、VPNゲートウェイでサポートされているSSL-VPN接続の最大数の4倍以上であることを確認します。
重要クライアントCIDRブロックのサブネットマスクの長さは16〜29ビットである必要があります。
クライアントCIDRブロックが、クライアントに関連付けられているローカルCIDRブロック、VPC CIDRブロック、またはルートCIDRブロックと重複しないようにします。
10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、またはそれらのサブネットのいずれかをクライアントCIDRブロックとして使用することを推奨します。 パブリックCIDRブロックをクライアントCIDRブロックとして指定する場合は、パブリックCIDRブロックをVPCのユーザーCIDRブロックとして指定する必要があります。 これにより、VPCはパブリックCIDRブロックにアクセスできます。 詳細については、「」をご参照ください。ユーザーCIDRブロックとは何ですか? とユーザーCIDRブロックを設定するにはどうすればよいですか? 「FAQ」トピックのセクション。
SSLサーバーを作成すると、クライアントCIDRブロックを指すルートがVPCルートテーブルに自動的に追加されます。 クライアントCIDRブロックを指すルートをVPCルートテーブルに再度追加しないでください。 そうしないと、SSL-VPN接続は期待どおりに機能しません。
高度な構成
プロトコル
SSL-VPN接続で使用されるプロトコル。 デフォルト値: TCP (推奨) 。 有効な値:
UDP
TCP (推奨)
ポート
SSLサーバーによって使用されるポート。 有効な値は1 ~ 65535の範囲です。 デフォルト値: 1194
説明22、2222、22222、9000、9001、9002、7505、80、443、53、68、123、4510、4560、500、および4500のポートはサポートされていません。
暗号化アルゴリズム
SSL-VPN接続で使用される暗号化アルゴリズム。
クライアントがTunnelblickまたはOpenVPN V2.4.0以降を使用する場合、SSLサーバーは暗号化アルゴリズムについてクライアントと動的に交渉し、SSLサーバーとクライアントがサポートする最も安全な暗号化アルゴリズムを使用します。 SSLサーバーに指定した暗号化アルゴリズムは有効になりません。
クライアントが2.4.0より前のバージョンのOpenVPNを使用している場合、SSLサーバーとクライアントはSSLサーバーに指定した暗号化アルゴリズムを使用します。 SSLサーバーには、次のいずれかの暗号化アルゴリズムを指定できます。
AES-128-CBC
AES-192-CBC
AES-256-CBC
none
noneの値は、暗号化アルゴリズムが使用されないことを示します。
圧縮の有効化
SSL-VPN接続で送信されるデータを圧縮するかどうかを指定します。 デフォルト値: いいえ。 有効な値:
はい
いいえ
2 要素認証
VPN gatewayの2要素認証を有効にするかどうかを指定します。 デフォルトでは、2要素認証は無効になっています。
2要素認証を有効にする場合は、Identity as a Service (IDaaS) インスタンスとIDaaSアプリケーションを指定する必要があります。 2要素認証を有効にすると、クライアントとVPNゲートウェイの間にSSL-VPN接続が作成されると、システムはクライアントで2要素認証を実行します。 最初の認証は、デフォルトのSSLクライアント証明書に基づいて実行されます。 クライアントがSSLクライアント証明書認証に合格した後、2回目の認証では、指定されたIDaaSインスタンスのユーザー名とパスワードを使用してクライアントを認証します。 2番目の認証は、IDaaSのショートメッセージサービス (SMS) 認証機能をサポートしていません。 SSL-VPN接続は、2要素認証に合格した後にのみ作成されます。 これは、SSL-VPN接続セキュリティを効果的に強化する。 詳細については、「2要素認証」をご参照ください。
初めて2要素認証機能を使用する場合は、まずVPNにクラウドリソースへのアクセスを許可する必要があります。
UAE (ドバイ) リージョンでSSLサーバーを作成する場合、遅延を減らすためにシンガポールのIDaaS EIAM 2.0インスタンスにSSLサーバーを関連付けることを推奨します。
IDaaS EIAM 1.0インスタンスを購入できなくなりました。 Alibaba CloudアカウントにIDaaS EIAM 1.0インスタンスがある場合、2要素認証機能を有効にした後でも、IDaaS EIAM 1.0インスタンスを指定できます。
Alibaba CloudアカウントにIDaaS EIAM 1.0インスタンスがない場合、2要素認証機能を有効にした後、IDaaS EIAM 2.0インスタンスのみを指定できます。
VPN gatewayを更新して、IDaaS EIAM 2.0インスタンスに関連付ける必要がある場合があります。 詳細については、「SSL-VPN接続の2要素認証のためのサポートIDaaS EIAM 2.0インスタンスの変更に関するお知らせ」をご参照ください。
説明
次に何をすべきか
SSLサーバーの作成後、SSLサーバーに基づいてSSLクライアント証明書を作成し、ID認証とデータ暗号化のためにクライアントにSSLクライアント証明書をインストールする必要があります。 詳細については、「SSLクライアント証明書の作成と管理」をご参照ください。
SSLサーバーの変更
SSLサーバーの作成後、SSLサーバーの設定を変更できます。 SSLサーバーの設定を変更した後、SSLクライアント証明書を再度ダウンロードしてインストールするか、SSL-VPN接続を再開する必要がある場合があります。
SSLサーバーの 高度な構成 セクションの プロトコル 、圧縮の有効化 、または2 要素認証パラメーターの値を変更すると、SSLサーバーに関連付けられているSSLクライアント証明書は無効になります。 この場合、新しいSSLクライアント証明書を作成し、クライアントに証明書をインストールしてから、SSL-VPN接続を再開する必要があります。
SSLサーバーの ローカルネットワーク または クライアントサブネット パラメーターの値を変更すると、SSLサーバーへのすべてのSSL-VPN接続が中断されます。 この場合、クライアントからSSL-VPN接続を再開する必要があります。
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、SSLサーバーを作成するリージョンを選択します。
SSL サーバーページで、変更するSSLサーバーを見つけて、編集で、操作列を作成します。
SSL サーバーの編集パネルで、SSLサーバーの名前、ローカルCIDRブロック、クライアントCIDRブロック、または詳細設定を変更し、OK.
SSLサーバーの削除
不要になったSSLサーバーを削除できます。 SSLサーバーが削除されると、SSLサーバーに関連付けられているすべてのSSLクライアント証明書が自動的に削除されます。 この場合、SSLクライアント証明書がインストールされているクライアントのSSL-VPN接続は自動的に切断されます。
VPN Gatewayコンソール. にログインします。
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、SSLサーバーのリージョンを選択します。
SSL サーバーページで、削除するSSLサーバーを見つけて、削除で、操作列を作成します。
表示されるメッセージで、情報を確認し、削除.
API操作によるSSLサーバーの作成と管理
API操作を呼び出して、Alibaba Cloud SDK、Alibaba Cloud CLI、Terraform、またはResource Orchestration Service (ROS) を使用して、SSLサーバーを作成、クエリ、変更、または削除できます。 Alibaba Cloud SDKを使用してAPI操作を呼び出すことを推奨します。 関連するAPI操作の詳細については、以下のトピックを参照してください。