証明書に関するご質問
HTTPSはどの暗号スイートをサポートしていますか。
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-CHACHA20-POLY1305:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:AES:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK
HTTPSはどのバージョンのSSL/TLSセキュリティプロトコルをサポートしていますか。
CLB HTTPSが現在サポートするssl_protocolsは、TLSv1、TLSv1.1、TLSv1.2、TLSv1.3です。
HTTPSのリスニングではどのポートを使用しますか。
強制ではありませんが、443番ポートの使用をお勧めします。
HTTPS双方向認証はなぜ必要なのですか。
金融サービス関係のお客様など、高いデータセキュリティを必要とするお客様がいらっしゃいます。このようなお客様にとっては、サーバー側だけでなくクライアント側でもHTTPS認証が必要です。HTTPS双方向認証機能はこうしたお客様のニーズを満たすために開発されました。
HTTPSプロトコルで実際に発生するトラフィックが請求書のトラフィックより多いのはなぜですか。
ユーザーがHTTPSプロトコルを使用する場合、プロトコルハンドシェイクに若干のトラフィックを使用します。このため、実際に発生するトラフィックが請求書のトラフィックより少し多くなります。
HTTPSリスナーを追加した後も、CLBとバックエンドサーバーの間のリクエスト伝送がHTTPプロトコルのままです。
はい。HTTPSリスナーを追加すると、クライアントとCLBの間のリクエストはHTTPSプロトコルによって暗号化されますが、CLBとバックエンドサーバーの間のリクエスト伝送はHTTPプロトコルのままとなります。バックエンドCVMにはSSL設定を行う必要がないからです。
CLBは現在どのタイプの証明書をサポートしていますか。
現在はサーバー証明書とCA証明書のアップロードをサポートしています。サーバー証明書は証明書の内容と秘密鍵をアップロードする必要がありますが、CA証明書は証明書の内容をアップロードするだけで結構です。この2種類の証明書はどちらもPEMエンコード形式でのアップロードのみ可能です。
1つのリスナーにはいくつのHTTPS証明書をバインドできますか。
ユーザーがHTTPS単方向認証を使用している場合は、1つのリスナーに対し1つのサーバー証明書しかバインドできません。HTTPS双方向認証を使用している場合は、1つのリスナーに対し1つのサーバー証明書+1つのCA証明書をバインドする必要があります。
1つの証明書はいくつのロードバランサといくつのリスナーに適用できますか。
1つの証明書は1つまたは複数のロードバランサ、または複数のリスナーに適用できます。
証明書をアップロードするにはどうすればよいですか。
APIまたはCLBコンソール方式によってアップロードできます。
証明書にリージョンの区別はありますか。
ありません。証明書の購入および発行後のインストールとデプロイはリージョンの制限を受けません。
証明書をバックエンドサーバーにアップロードする必要はありますか。
必要ありません。CLB HTTPSは証明書管理システムによってユーザーの証明書を管理および保存しているため、証明書をバックエンドCVMにアップロードする必要はありません。ユーザーが証明書管理システムにアップロードした秘密鍵もすべて暗号化して保存されます。
証明書の有効期限が切れた場合はどうすればよいですか。
現在は証明書の期限切れ後にユーザーが手動で証明書を更新する必要があります。
証明書を追加するとエラーが発生した場合はどうすればよいですか。
秘密鍵の内容が正しくない可能性があります。ユーザーは要件を満たす新しい証明書に切り替える必要があります。