Hitoshi Kaneko

オリジンサーバ証明書更新時における手順と注意点

Blog Post created by Hitoshi Kaneko Employee on Jan 10, 2017

以前、セキュア配信に向けた手順についてをご紹介しましたが、配信設定をセキュア化してもオリジンサーバ証明書の有効期限等で証明書を更新することがあると思います。新しい証明書によっては証明書更新後に配信ができなくなってしまう可能性もあるため、今回は証明書を更新する場合の手順と注意すべき事項についてご紹介します。

 

1. 現行配信設定の確認

現行配信設定のオリジンサーバ設定内容から現行証明書がどの種別に属するかを確認します。種類としては以下の4つに分かれます。Origin ServerのBehaviorにある「Origin SSL Certificate Verification」を参照することでどの種類に該当するかを確認できます。

  • Akamai Certificate Store対応の証明書を使用
    Akamai Certificate StoreがEnableである。
  • Third Party Certificate Store対応の証明書を使用
    Third Party Certificate StoreがEnableである。
  • Akamai/Third Party Certificate Store以外の認証局から発行された証明書を使用
    Trustが “Custom Certificate Authorities Set”である。
  • Self-Signed証明書を使用
    Trustが “Specific Certificates (pinning)”である。

 

なお、お客様の設定によっては複数に該当する設定がされている場合があります。その場合は既存証明書がどの設定と本来合致しているか確認する必要があります。

 

2. 新証明書の確認

先の手順で証明書の種類を特定したように新証明書がどの条件に合致するかを確認します。

  • Akamai Certificate Store対応の証明書
    Akamai Certificate StoreのView CA Setから対象となる認証局を確認できます。新証明書がリストにあるルート証明書とチェーンが繋がる場合は、Akamai Certificate Store対応の証明書となります。

    こちらがリストの一部となります。※最新のリストについては必ずLUNAよりご確認ください。
  • Third Party Certificate Store対応の証明書

Third Party Certificate StoreのView CA Setから 対象となる認証局を確認できます。新証明書がリストにあるルート証明書とチェーンが繋がる場合は、Third Party Certificate Store対応の証明書となります。

こちらがリストの一部となります。※最新のリストについては必ずLUNAよりご確認ください。

  • Akamai/Third Party Certificate Store以外の認証局から発行された証明書
    Akamai Certificate StoreおよびThird Party Certificate Store対応していない認証局から発行された証明書は、"Custom Certificate Authority Set" で指定する必要がある証明書となります。
  • Self-Signed証明書の証明書

    上述に該当しない証明書は、"Specific Certificates (Pinning)"で証明書をピン留め設定で固定する必要がある証明書となります。

    なお、諸事情により期限切れの証明書をご利用になる場合にもこちらの設定となります。

 

3. 配信設定の変更と新証明書の適用

新証明書に切替後も配信できるように、必要に応じて配信設定を変更します。

  • 配信設定の変更が不要の場合
    • 新証明書と旧証明書ともAkamai Certificate Store対応の証明書を使用
    • 新証明書と旧証明書ともThird Party Certificate Store対応の証明書を使用
    • 新証明書と旧証明書ともAkamai/Third Party Certificate Store以外の認証局で同一の証明書チェーンを使用
  • 配信設定の追加作業が必要な場合
    • Akamai/Third Party Certificate Store対応する証明書を新たに使用
      Akamai-managed Certificate Authority Setsで新証明書側のStoreをEnableにします。

    • Akamai/Third Party Certificate Storeのリストにない認証局が発行した証明書を新たに使用
      Add Certificateからルート証明書や中間証明書の情報を登録します。

    • Self-Signed証明書を新たに使用
      Add Certificateから新証明書の情報を登録します。

 

新証明書と旧証明書でTrustが異なる場合は"Satisfies any of the trust options below"を選ぶことでTrustオプションを跨いだ設定が可能です。

 

新証明書のCommon NameもしくはSubject Alternative Nameが変更する場合は"Match CN/SAN To"にもご注意下さい。別ブロク記事、「Origin SSL Certificate Verification」の設定について、でも「Origin SSL Certificate Verification」の設定をご紹介しております。

 

4.配信設定の旧証明書用設定の無効化

新証明書に更新したあと、必要に応じて旧証明書用の設定を削除して下さい。

 

なお、LUNAの表示する言語をEnglishとしております。日本語の場合には表示されるメニュー名が翻訳されていることがあります。

Outcomes