チュートリアル:Azure CDN カスタム ドメインで HTTPS を構成する
重要
Azure CDN Standard from Microsoft (クラシック) は、2027 年 9 月 30 日に廃止されます。 サービスの中断を回避するには、2027 年 9 月 30 日までに Azure Front Door の Standard または Premium レベルに Azure CDN Standard from Microsoft (クラシック) プロファイルを移行することが重要です。 詳細については、Azure CDN Standard from Microsoft (クラシック) の廃止に関するページを参照してください。
Azure CDN from Edgio は、2025 年 1 月 15 日に廃止される予定です。 サービスが中断しないようにするには、この日までに Azure Front Door にワークロードを移行する必要があります。 詳細については、「Azure CDN from Edgio の提供終了に関するよくあるご質問」を参照してください。
このチュートリアルでは、Azure CDN エンドポイントに関連付けられたカスタム ドメインの HTTPS プロトコルを有効にする方法について説明します。
カスタム ドメイン (例: https://www.contoso.com
) に HTTPS プロトコルを使うと、機密データが TLS/SSL でセキュリティ保護されて配信されます。 Web ブラウザーは、HTTPS 経由で接続されている場合、Web サイトの証明書を検証します。 ブラウザーはそれが正当な証明機関によって発行されていることを確認します。 このプロセスによりセキュリティを確保し、Web アプリケーションを攻撃から保護します。
既定では、Azure CDN は、CDN エンドポイント ホスト名で HTTPS をサポートしています。 たとえば、CDN エンドポイント (例: https://contoso.azureedge.net
) を作成すると、既定で HTTPS が有効になります。
カスタム HTTPS の機能の主な特性は次のとおりです。
追加コストなし: 証明書の取得または更新のコストや、HTTPS トラフィックの追加コストが発生しません。 CDN からの GB 送信のみ課金されます。
シンプルな有効化: Azure portal からワン クリックのプロビジョニングを利用できます。 REST API やその他の開発者ツールを使用して機能を有効にすることもできます。
証明書の完全な管理:
- すべての証明書の調達と管理がユーザーに代わって実施されます。
- 証明書は自動的にプロビジョニングされ、有効期限が切れる前に更新されます。
このチュートリアルでは、以下の内容を学習します。
- カスタム ドメインで HTTPS プロトコルを有効にする。
- CDN で管理された証明書を使用する
- 独自の証明書を使用する
- ドメインを検証する
- カスタム ドメインで HTTPS プロトコルを無効にする。
前提条件
Note
Azure を操作するには、Azure Az PowerShell モジュールを使用することをお勧めします。 作業を始めるには、「Azure PowerShell をインストールする」を参照してください。 Az PowerShell モジュールに移行する方法については、「AzureRM から Az への Azure PowerShell の移行」を参照してください。
このチュートリアルの手順を完了するには、最初に CDN プロファイルと少なくとも 1 つの CDN エンドポイントを作成しておいてください。 詳細については、「クイック スタート: Azure CDN プロファイルとエンドポイントの作成」を参照してください。
CDN エンドポイントに Azure CDN カスタム ドメインを関連付けます。 詳細については、「チュートリアル:カスタム ドメインを Azure CDN エンドポイントに追加します。
重要
CDN マネージド証明書は、ルートまたは頂点のドメインには使用できません。 Azure CDN カスタム ドメインがルートまたは頂点のドメインの場合、独自の証明書の持ち込み機能を使用する必要があります。
TLS/SSL 証明書
Azure CDN カスタム ドメインで HTTPS を有効にするには、TLS/SSL 証明書を使用します。 Azure CDN で管理された証明書と独自の証明書のどちらを使用するかを選択できます。
Azure CDN は、調達や更新などの証明書管理タスクを処理します。 この機能を有効にすると、プロセスがすぐに開始します。
カスタム ドメインが既に CDN エンドポイントにマップされている場合、これ以上のアクションは必要ありません。 Azure CDN で手順が処理され、要求は自動的に完了します。
カスタム ドメインが別の場所でマップされている場合は、メールを使用してドメインの所有権を検証します。
カスタム ドメインで HTTPS を有効にするには、次の手順のようにします。
Azure portal に移動し、Azure CDN によって管理されている証明書を検索します。 CDN のプロファイルを検索して選択します。
自分のプロファイルを選択します。
- Azure CDN Standard from Microsoft
- Azure CDN Standard from Edgio
- Azure CDN Premium from Edgio
CDN エンドポイントの一覧で、カスタム ドメインが含まれているエンドポイントを選択します。
[エンドポイント] ページが表示されます。
カスタム ドメインの一覧で、HTTPS を有効にするカスタム ドメインを選択します。
[カスタム ドメイン] ページが表示されます。
[証明書の管理の種類] で、 [CDN 管理] を選択します。
[オン] を選択して HTTPS を有効にします。
「ドメインを検証する」に進みます。
ドメインを検証する
CNAME レコードでカスタム エンドポイントにマップされた使用中のカスタム ドメインがある場合、または独自の証明書を使用している場合には、Content Delivery Network エンドポイントにマップされているカスタム ドメインに関するセクションに進んでください。
そうではなく、エンドポイントの CNAME レコード エントリがもう存在しない場合、またはそこに cdnverify サブドメインが含まれている場合は、「カスタム ドメインが CDN エンドポイントにマップされていない」に進んでください。
カスタム ドメインが CNAME レコードによって CDN エンドポイントにマップされている
カスタム ドメインをエンドポイントに追加するときに、CDN エンドポイントのホスト名にマッピングする CNAME レコードを DNS ドメイン レジストラーに作成しました。
この CNAME レコードがまだ存在し、そこに cdnverify サブドメインが含まれていない場合は、DigiCert CA は、これを使用して自動でカスタム ドメインの所有権を検証します。
独自の証明書を使用している場合には、ドメインの検証は必要ありません。
CNAME レコードは、次の形式にする必要があります。
- "名前" はカスタム ドメイン名です。
- "値" はコンテンツ配信ネットワーク エンドポイントのホスト名です。
名前 | Type | 値 |
---|---|---|
<www.contoso.com> | CNAME | contoso.azureedge.net |
CNAME レコードの詳細については、CNAME DNS レコードの作成に関するセクションを参照してください。
CNAME レコードが正しい形式である場合、DigiCert は自動的にそのカスタム ドメイン名を検証し、ご利用のドメインに使用する証明書を作成します。 DigiCert から検証電子メールが送信されないため、要求を承認する必要はありません。 この証明書は 1 年間有効で、有効期限が切れる前に自動更新されます。 「伝達を待機する」に進んでください。
自動検証には通常、数時間かかります。 24 時間以内にドメインが確認されない場合は、サポート チケットを開いてください。
Note
DNS プロバイダーに Certificate Authority Authorization (CAA) レコードがある場合、承認に適切な CA が含まれている必要があります。 DigiCert は、Microsoft および Edgio プロファイルの CA です。 CAA レコードの管理の詳細については、「Manage CAA records」 (CAA レコードの管理) を参照してください。 CAA レコード ツールについては、「CAA Record Helper」(CAA レコード ヘルパー) をご覧ください。
カスタム ドメインが CDN エンドポイントにマップされていない
CNAME レコード エントリに cdnverify サブドメインが含まれている場合は、この手順の残りの部分に従ってください。
DigiCert は、次のメール アドレスに確認メールを送信します。 次のアドレスのいずれかから直接承認できることを確認してください。
- admin@your-domain-name.com
- administrator@your-domain-name.com
- webmaster@your-domain-name.com
- hostmaster@your-domain-name.com
- postmaster@your-domain-name.com
数分以内に、要求の承認を求めるメールを受け取ります。 スパム フィルターを使っている場合は、verification@digicert.com をその許可リストに追加してください。 24 時間以内にメールが届かない場合は、Microsoft のサポートに問い合わせてください。
承認リンクを選択すると、次のオンライン承認フォームが表示されます。
フォームの指示に従います。2 つの検証オプションがあります。
contoso.com などの同じルート ドメインに対して同じアカウントを使って、今後行われるすべての依頼を承認することができます。 同じルート ドメインの他のカスタム ドメインを追加する予定の場合は、このアプローチを使用することをお勧めします。
この要求で使われる特定のホスト名のみを承認できます。 その後の要求では追加の承認が必要になります。
承認後、カスタム ドメイン名に使用される証明書の作成が完了します。 証明書の有効期間は 1 年です。 カスタム ドメインの CNAME レコードが、検証後にエンドポイントホスト名にマップされるように追加または更新された場合、期限切れになる前に自動的に更新されます。
Note
マネージド証明書の自動更新では、カスタム ドメインを CNAME レコードによって CDN エンドポイントに直接マップする必要があります。
伝達を待機する
ドメイン名の検証後、カスタム ドメインの HTTPS 機能がアクティブになるまでに最大 6 ~ 8 時間がかかります。 プロセスが完了したら、Azure portal の [カスタム HTTPS] の状態が [有効] に変更されます。 [カスタム ドメイン] ダイアログの 4 つの操作ステップが完了とマークされます。 カスタム ドメインは、HTTPS を使う準備ができました。
操作の進行
次の表は、HTTPS を有効にするときの操作の進行を示したものです。 HTTPS を有効にした後、[カスタム ドメイン] ダイアログには 4 つの操作ステップが表示されます。 各ステップがアクティブになると、進行状況に合わせてステップの下に他のサブステップの詳細が表示されます。 これらのサブステップのすべてが発生するわけではありません。 ステップが正常に完了すると、横に緑色のチェック マークが表示されます。
操作ステップ | 操作サブステップの詳細 |
---|---|
1 要求の送信 | 要求を送信しています |
HTTPS 要求を送信しています。 | |
HTTPS 要求を正常に送信しました。 | |
2 ドメインの検証 | CNAME で CDN エンドポイントにマップされている場合、ドメインは自動的に検証されます。 そうでない場合、ドメインの登録レコードにリストされているメール アドレス (WHOIS 登録者) に、確認要求が送信されます。 |
ドメインの所有権が正常に検証されました。 | |
ドメインの所有権の検証要求が期限切れになりました (お客様から 6 日以内に返答がなかったようです)。 ドメインで HTTPS が有効になることはありません。 * | |
ドメインの所有権の検証要求が、お客様により拒否されました。 ドメインで HTTPS が有効になることはありません。 * | |
3 証明書のプロビジョニング | 証明機関は現在、ドメインで HTTPS を有効にする際に必要な証明書の発行処理を進めています。 |
証明書の発行が完了しました。現在、証明書を CDN ネットワークにデプロイしています。 これには最大 6 時間かかることがあります。 | |
CDN ネットワークに証明書をデプロイしました。 | |
4 完了 | ドメインで HTTPS を有効にしました。 |
* このメッセージは、エラーが発生しない限り表示されません。
要求送信前にエラーが発生した場合は、次のエラー メッセージが表示されます。
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
リソースのクリーンアップ - HTTPS を無効にする
このセクションでは、カスタム ドメインの HTTPS を有効にする方法について説明します。
HTTPS 機能を無効にする
Azure portal で、CDN のプロファイルを検索して選択します。
お使いの Azure CDN Standard from Microsoft、Azure CDN Standard from Edgio、または Azure CDN Premium from Edgio プロファイルを選択します。
エンドポイントの一覧で、カスタム ドメインを含むエンドポイントをクリックします。
HTTPS を無効にするカスタム ドメインを選択します。
[オフ] を選択して HTTPS を無効にした後、 [適用] を選択します。
伝達を待機する
カスタム ドメインの HTTPS 機能を無効にした後、適用されるまでには最大 6 から 8 時間かかります。 プロセスが完了したら、Azure portal の [カスタム HTTPS] の状態が [無効] に変更されます。 カスタム ドメインは HTTPS を使うことができなくなります。
よく寄せられる質問
証明書プロバイダーはだれですか。どのような種類の証明書が使用されますか。
次の場合、カスタム ドメインには、DigiCert によって提供される専用の証明書が使用されます。
- Azure Content Delivery Network from Edgio
- Azure Content Delivery Network from Microsoft
IP ベースまたは Server Name Indication (SNI) TLS/SSL を使用していますか?
Azure CDN from Edgio と Azure CDN Standard from Microsoft のどちらも、SNI TLS/SSL が使用されます。
DigiCert からドメインの検証電子メールが送られて来ない場合はどうすればよいでしょうか。
cdnverify サブドメインを使用しておらず、CNAME エントリがエンドポイントのホスト名の場合、ドメインの検証メールが送られてくることはありません。
検証は自動的に行われます。 そうではなく、CNAME エントリがないうえに 24 時間以内にメールが届かなかった場合、Microsoft のサポートに問い合わせてください。
SAN 証明書を使用すると専用証明書の場合よりも安全性が低くなるでしょうか。
SAN 証明書は、専用証明書と同じ暗号化およびセキュリティ標準に従っています。 発行されるすべての TLS/SSL 証明書には、サーバーのセキュリティを強化するために SHA-256 が使用されます。
DNS プロバイダーに Certificate Authority Authorization レコードが必要ですか。
現在、Certificate Authority Authorization レコードは必要ありません。 ただし、所持している場合は、そこには有効な CA として DigiCert が含められている必要があります。
2018 年 6 月 20 日以降、Edgio の Azure CDN で、SNI TLS/SSL による専用証明書が既定で使用されます。 SAN (Subject Alternative Name: サブジェクトの別名) 証明書と IP ベースの TLS/SSL を使用している既存のカスタム ドメインはどうなるのでしょうか。
Microsoft の分析の結果、アプリケーションに対する要求が SNI クライアント要求だけであることがわかった場合、既にあるドメインは今後数か月内に単一の証明書へと徐々に移行されます。
非 SNI クライアントが検出された場合、ドメインは SAN 証明書と IP ベースの TLS/SSL のままになります。 SNI 非対応のサービスやクライアントに対する要求には影響ありません。
証明書の更新では、独自の証明書の持ち込みをどのように処理しますか。
POP インフラストラクチャに新しい証明書がデプロイされるようにするには、新しい証明書を Azure Key Vault にアップロードします。 Azure Content Delivery Network の TLS 設定で、最新のバージョンの証明書を選択し、[保存] を選択してください。 Azure Content Delivery Network によって、新しい更新された証明書が反映されます。
重要
- 2024 年 6 月 20 日の時点で、Edgio からの Azure CDN の Standard と Premium では、独自の証明書を使用する機能はサポートされていません。 この機能は、2025 年初めに再び導入される予定です。
- この機能を使うカスタム ドメインでは何を行う必要がありますか? Edgio プラットフォームに既にデプロイされている BYOC 証明書は、有効期限まで引き続き有効です。 2025 年に有効期限が切れる証明書については、何も行う必要はありません。 更新が必要な証明書、または今年期限切れになる証明書については、"CDN マネージド" に切り替えることをお勧めします。 追加のサポートが必要な場合は、サポート リクエストを送信してサポート エンジニアと共同で作業してください。
次のステップ
このチュートリアルでは、以下の内容を学習しました。
- カスタム ドメインで HTTPS プロトコルを有効にする。
- CDN で管理された証明書を使用する
- 独自の証明書を使用する
- ドメインを検証する。
- カスタム ドメインで HTTPS プロトコルを無効にする。
次のチュートリアルに進み、CDN エンドポイントでキャッシュを構成する方法を学習してください。