VIPの{編集}をクリック(緑丸)しポップアップウィンドウにて挙動を指定します。
基本的には設定の必要はありません。
割り当てたい証明書を変更したい場合などは「証明書」のプルダウンから選択してください。
実サーバの{編集}をクリック(紫丸)しポップアップウィンドウにて挙動を指定します。
SSLサービスを追加した場合、デフォルトでは、WAF<=>実サーバ間はHTTP通信となります。(ブリッジは、全通信HTTPSです。)
実サーバのポートを指定します。
HTTPS/SSLの場合、通常443です。
全ての通信をHTTPS/SSL化するには、以下のように設定します。
サーバが正しい証明書を使用しているか検証を行います。
バックエンドサーバへのアクセスがインターネットを経由する場合は「はい」を選択することを推奨します。
自己証明書/テスト証明書など一般的でないCAが署名した証明書をお使いの場合は事前に
「UPLOAD TRUSTED SERVER CERTIFICATE」よりCAの証明書を登録する必要があります。
証明書の検証を行わない場合は「いいえ」を選択してください。
「はい」を選択します
1:「基本設定」>「サービス」にアクセスし、VIPの緑枠部分「Edit」をクリックします。
2: ポップアップした画面の「SSL」部分に関して必要な項目を入力します。高度な設定を行う場合は項番 3に進みます。
| 項目 | 内容 |
|---|---|
| ステータス | 「オン」を選択すると、このサービスでSSLを有効にします。 |
| RSA Certificate | サービス使用する証明書を選択します。 証明書をアップロードまたは生成するには、「基本設定」>「証明書」ページで設定します。 |
3: 高度な設定を行う場合は「高度な設定を表示」をクリックし、必要な項目を入力します。
| 項目名 | 内容 |
|---|---|
| ECDSA Certificate | ECDSA証明書を使用する場合に選択します。証明書をアップロードまたは生成するには、「基本設定」>「証明書」ページに移動します。 注:ECDSA証明書を選択すると、サービスのECDSAベースの cipherが有効になります。 ECDSA証明書を利用する際も併せて利用するRSA証明書の設定が必要となります |
| SSLプロトコル | クライアントとサービス間での接続確立に使用するSSLプロトコルを選択します。 SSL3.0、TLS1.0、TLS1.1、TLS1.2を選択可能です。 |
| SNIの有効化 | SNIを利用すると、1つのIPアドレスで異なる複数ドメインのSSL証明書を利用できるようになります。 注:SNIには対応ブラウザの制約がありますので、注意が必要です。 |
| Enable HSTS | この設定を「はい」にすると、クライアントとの通信に HTTPSを強制します。 |
| Enable Perfect Forward Secrecy | この設定を「はい」にすると、DHE/ECDHEキー交換が使用されている場合、SSL/TLSセッション毎に新しい一時的な公開鍵と秘密鍵のペアが作成されます。 この設定を「いいえ」にすると、サービス作成時に生成された公開鍵と秘密鍵のペアが全SSL/TLSセッションで使用されます。 |
| 暗号 | 「カスタム」を選択すると、「利用可能な暗号」リストからサービスで使用する暗号を選択することができます。 「デフォルト」の場合、「利用可能な暗号」リストに含まれるすべて暗号を対象にします。 |
4: 必要に応じて「Override Ciphers」を設定します。ここでは、各プロトコルの暗号を選択して、関連する暗号のデフォルトセットを上書きします。
使用する暗号セットをクリックし「追加」「削除」で設定します。
5:「保存」をクリックして設定を反映します。