Hitoshi Kaneko

「Origin SSL Certificate Verification」の設定について

Blog Post created by Hitoshi Kaneko Employee on Nov 30, 2016

セキュア配信のご契約をいただいていると、Akamaiの配信設定にてSecure Optionにチェックを入れることでセキュア配信(HTTP&HTTPS)の設定が可能となります。

セキュア化オプションを有効にした場合、以下のようにOrigin ServerのBehaviorに追加表示される「Origin SSL Certificate Verification」の設定が必要となりますので、今回はOrigin SSL Certificate Verificationについてご紹介致します。(なお、NetStorageオリジンの場合は本設定は不要となります)

 

「Origin SSL Certificate Verification」は中間者攻撃(man-in-the-middle attack)を防ぐための設定です。設定はAkamaiがオリジンとセキュア通信する際に、予め登録されている証明書情報を返却するオリジンとのみセキュア通信を許可します。オリジンとして有効であることを確認できれば、クライアントのリクエストがオリジンに送られます。

 

それでは実際にOrigin SSL Certificate Verificationの設定手順を見ていきます。

  1. Verification Settingsを選択します。Akamaiとしては「Choose Your Own(Recommended)」を推奨しております。

    Choose Your Own(Recommended): どの証明書/認証局を信頼するか直接設定できるため、セキュリティレベルを最大限に高めることができます。
    Use Platform Setting: Akamai Certificate Storeにある認証局によって発行された証明書を信頼します。このPlatform Settingは将来的にポリシー変更の可能性があります。
    Third Party Settings: Amazon AWSのような3rd Partyを利用している場合に用います。AWSを利用される場合でも「Choose Your Own(Recommended)」から後の設定で選択することができます。
  2. SNI TLS Extensionを使う/使わない設定を「Use SNI TLS Extension」にて選択できます。


    Verification Settingsで「Choose Your Own(Recommended)」を選ぶと、「Match CN/SAN to」、「Trust」を設定する必要がありますので、それらの項目を確認していきます。

  3. 「Match CN/SAN To」ではオリジンサーバ証明書のCommon NameもしくはSubject Alternate Nameのフィールドにどのホスト名が入るべきかを設定します。以下の設定であればオリジンホスト名、オリジンへ転送するホスト名、カスタムのwww.example.comのどれかに合致すれば、正しいオリジンとしてAkamaiサーバは認識します。
  4. 続いてどのようなタイプの証明書もしくは認証局を信頼するかを「Trust」欄にて設定します。

    Akamai-managed Certificate Authorities Set: Akamai Certificate StoreとThird Party Certificate StoreそれぞれEnable/Disableすることでお選びいただけます。 リスト内にある認証局まで証明書チェーンが辿れればセキュア通信が許可されます。各Storeに含まれている証明書はView CA setをクリックすると確認できます。

    Custom Certificate Authority Set: こちらを選択すると新たな設定項目が表示されます。「Add」ボタンをクリックすることでオリジンから直接証明書を取得する、もしくはPEM形式の証明書を貼ることでカスタムで信頼する認証局の設定が可能となります。追加された認証局まで証明書チェーンが辿れればセキュア通信が許可されます。


    Specific Certificates(pinning): 上記のCustom Certificate Authorityのように、オリジンから直接取得もしくはPEM形式の証明書を貼ることで、その証明書そのものを信頼する設定が可能となります。
    Satisfies any of the trust options below: 上記3つの設定を組み合わせて使うことが、本オプションで可能となります。

 

オリジン証明書を更新する際、「Akamai-managed Certificate Authorities Set」と「Custom Certificate Authority Set」の場合には新規証明書からもそれぞれの認証局の証明書へチェインが辿れるか確認すること、また「Specific Certificates(pinning)」の場合には新規証明書を追加設定する必要がありますのでご注意下さい。

 

Origin SSL Certificate Verification」の設定を誤ると、クライアントが正しくアクセスできなくなります。Staging環境で必ず試験を実施することを推奨致します。なお、LUNAの表示する言語をEnglishとしております。日本語の場合には表示されるメニュー名が翻訳されていることがあります。

Outcomes