フォーム読み込み中
コモンネームがグローバルIPアドレスのSSLサーバー証明書を発行してみた。
ソリューションアーキテクト
西野 一聖
2020年4月SBクラウド株式会社入社、ソフトバンクに吸収合併後プリセールスエンジニアとしてAlibabaCloudのNetwork・セキュリティプロダクトのローカライズを推進し日中NWの品質改善、リモートアクセス、UTM製品導入案件を主に担当させて頂いております。
2024年1月31日掲載
ソフトバンクの西野です。
弊社ではパブリッククラウド「Alibaba Cloud」を取り扱っており、中国での日中NWの改善に向けたご相談を多数頂いております。今回は中国特有の事情でコモンネーム(以下CN)がグローバルIPアドレスのSSLサーバー証明書を発行が可能か検証したので紹介します。
一般的にはSSLサーバー証明書のCNはドメイン名ですが。
なぜCNがグローバルIPアドレスのSSLサーバー証明書が必要なのか、ユースケースと考慮事項を通じて紹介します。
ユースケースの紹介
中国から日本国内に設定している基盤システムのアクセスにインターネットで越境しSSLVPNを使用しているが通信が安定しないため業務時間中に日本側のシステムへアクセスできなくなることが課題です。
解決策としてAlibabaCloudリージョン間を結ぶネットワークサービスのCENを導入し、アクセス元から最寄りの中国本土リージョンにSSLVPNサービスを提供することで国外越境通信の安定を実現する構成をとります。またAlibabaCloud上でSSLVPNサービスを利用を検討する上で認証基盤連携やセキュリティ機能の要件都合で、AlibabaCloudのマネージドサービスマネージドではなく3rd PartyのFirewallやVPN製品を導入します。
構成イメージ
このようなケースでSSL VPNへのアクセスに関して以下のパターンが選択可能です。
1.SSLサーバー証明書をSSLVPN終端装置に搭載せず、グローバルIPアドレスでアクセスする。
アクセス例:https://X.X.X.X:port number
2.SSLサーバー証明書をSSLVPN終端装置に搭載せず、ドメイン名でアクセスする。
アクセス例:https://example.com:port number
3.SSLサーバー証明書をSSLVPN終端装置にアップロードし、グローバルIPでアクセスする。
アクセス例:https://X.X.X.X:port number ※本ブログの検証構成
4.SSLサーバー証明書をSSLVPN終端装置にアップロードし、ドメイン名でアクセスする。
アクセス例:https://example.com:port number
中国と日本でサーバーを設置しインターネット上にサービス公開する際の考慮事項についてご紹介いたします。
日本国内にサーバーを設置する場合
日本国内でVPN終端装置サーバーを設置するケースにおいては無償でSSLサーバー証明書を提供してもらえるサービスなどもあり検証用途でパターン1か2、本番利用ではパターン4で実施するケースが多いのではないでしょうか。また日本国内ではパターン3を使用する機会はほぼ無いのではないでしょうか。
ではパターン3を使用する機会はほぼ無いのでしょうか。
中国国内にサーバーを設定する場合
中国国内にVPN終端装置サーバーを設置するケースにおいては、検証・小規模本番利用で1、中規模・大規模本番利用で4というパターンで分けられるのではないでしょうか。
ただドメイン名のアクセスは中国国内では一定のハードルがあるためパターン3を検討することはあり得ると考えました。
中国国内からドメイン名アクセス行う場合の留意点
中国国内にサーバーを設置しインターネット経由のドメイン名でアクセスを行うためにはICP登録が必要になります。
※Webサービスのみではなくアプリケーションサービスも含まれます。
中国政府に申請し許諾を得たドメインが必要になり、ICPを取得していないドメインの場合は通信が遮断される可能性がございます。
ICPライセンスの詳細は以前記事を書いていますので確認してみてください。
ICPを自身で申請を行えば無償で取得することも可能ですが、日本法人様側ではハードルが高く、ICP取得の代行サービスもございますが費用が発生してしまいます。
そのため中国国内のケースではドメイン名のアクセスに対してはICPライセンスの兼合いでドメイン名のアクセスを採用せず、グローバルIPアドレスでアクセスすることがあります。
SSLサーバー証明書の導入検討
SSLサーバー証明書を購入しなくてもSSLVPNサービスの提供をすることは可能です。
検証用途で行う場合はSSLサーバー証明書を購入する必要はないと思います。
本番利用の場合はブラウザに証明書エラーの警告が発生しブラウザによっては警告を無視できない、警告が発生するため利用者の不安、問い合わせが発生する、社内ポリシーで導入しているセキュリティ製品のポリシーで証明書エラーが発生するサイトへは遮断するなどを避けるためSSLサーバー証明書をしたほうが良いでしょう。
CNがグローバルIPアドレスのSSLサーバー証明書を発行するケース
パターン3は所持しているドメインがICPライセンスを取得しておらずICP取得コストを抑えたいがSSLサーバー証明書は使いたいケースに当てはまります。
AlibabaCloudでCNがグローバルIPアドレスのSSLサーバー証明書を購入してみた。
前置きが長くなりましたがここからはAlibabaCloudのCertificate Management Serviceを使用してSSLサーバー証明書を購入していきます。
SSLサーバー証明書の購入
<1-1>
AlibabaCloudコンソールにログインし、Certificate Management Serviceを開きます。
<1-2>
SSL Certificates > Buy Nowをクリックします。
<1-3>
以下の通り選択し、[Buy Now]をクリックします。
2024年1月時点でCNがグローバルIPアドレスで発行できるSSLサーバー証明書は下記タイプのみとなります。
Certificate Type:Single Domain
Brand:GlobalSign
CertificateSpecifications:OV SSL
<1-4>
Information Management > Contact 3 > [Create Contact]をクリックします。
<1-5>
*箇所の情報を入力し[OK]をクリックします。
<1-6>
Information Management > Conpany 1 > [Create Conpany Profile]をクリックします。
<1-7>
*箇所の情報を入力し[OK]をクリックします。
SSLサーバー証明書の申請
<2-1>
SSL Certificates > [証明書申請]をクリックします。
<2-2>
*箇所の情報を入力し[OK]をクリックします。
バインディングドメイン名欄はドメイン名ではなくグローバルIPアドレスにします。
<2-3>
[レビューのために送信]をクリックします。
<2-4>
GlobalSign社からContactで入力したメールアドレス宛に企業認証、ドメイン認証の実施案内がきますので指示に従い対応いたします。
<2-5>
OV認証手続きが完了した旨のメールが届いたらSSL Certificates > [該当のCertificate ID] > [Download]をクリックします。
<2-6>
SSLサーバー証明書をアップロードするサーバーに合わせ証明書の形式を選択しSSLサーバー証明書を取得します。
検証結果
AlibabaCloudの上海リージョンにFortiGateVMデプロイし取得したSSLサーバー証明書をアップロードを行ったうえでSSLVPN(Webモード)でアクセスしてみました。
証明書エラーが発生することなく接続可能なことが確認できました。
最後に
本記事では、CNがグローバルIPアドレスのSSLサーバー証明書の発行と、実際にSSLVPN終端装置に搭載し試してみました。
グローバルIPアドレスのSSL通信でもサーバー証明書エラーが発生せずに通信可能なことが確認できました。
注意点としてはCertificate Management ServiceのドキュメントにはCNがグローバルIPアドレスで取得可能なSSLサーバー証明書のタイプ、ブランド、CertificateSpecificationsは記載されていないため購入される際は前もってサービス仕様が変更されていないかAlibabaCloudに確認されることをお勧めします。
ご覧いただき、ありがとうございました。
関連サービス
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
