Load BalancerのSSL証明書

Compute Cloud@Customerでは、ロード・バランシング・サービスを介してSSL証明書をインポートおよび管理できますが、サービスは証明書を生成しません。

SSL証明書は、VeriSignやGoDaddyなどのベンダーが発行した証明書、またはOpenSSLやLet's Encryptなどのツールを使用して生成した自己署名証明書です。

リスナーにHTTPSまたはSSLを構成する場合は、SSLサーバー証明書をロード・バランサに関連付ける必要があります。証明書によって、ロード・バランサは、接続を終了し、受信リクエストをバックエンド・サーバーに渡す前に復号化できます。次のSSL構成をロード・バランサに適用できます:

• SSL終了:ロード・バランサは、受信SSLトラフィックを処理し、暗号化されていないリクエストをバックエンド・サーバーに渡します。
• ポイントツーポイントSSL:ロード・バランサは、受信トラフィック・クライアントとのSSL接続を終了してから、バックエンド・サーバーへのSSL接続を開始します。
• SSLトンネリング: TCPトラフィック用にロード・バランサ・リスナーを構成すると、ロード・バランサは、受信SSL接続をアプリケーション・サーバーにトンネルします。

ロード・バランシングでは、デフォルト設定の強力な暗号強度を使用したTLS 1.2プロトコルがサポートされます。

ロード・バランサとそのリソースで標準SSLを使用するには、証明書を指定する必要があります。ロード・バランサで相互TLS (mTLS)を使用するには、1つ以上の認証局バンドル(CAバンドル)をシステムに追加する必要があります。証明書バンドルには、パブリック証明書、対応する秘密キー、および関連付けられた認証局(CA)証明書が含まれます。証明書バンドルは、関連付けるリスナーまたはバックエンド・セットを作成する前にアップロードすることをお薦めします。PEM形式のX.509証明書のみが受け入れられます。

ロード・バランサでは、通常、単一のドメイン証明書が使用されます。ただし、リクエスト・ルーティング構成を含むリスナーを使用するロード・バランサには、サブジェクト別名(SAN)証明書(マルチドメイン証明書とも呼ばれる)またはワイルドカード証明書が必要になる場合があります。ロード・バランシング・サービスは、これらの各証明書タイプをサポートします。