非公開スペースのドメインおよび証明書 (TLS コンテキスト) の設定

CloudHub 2.0 は、Transport Layer Security (TLS) コンテキストを使用して、非公開スペースへのインバウンドトラフィックを暗号化します。

TLS コンテキストを使用すると、カスタムドメインでアプリケーションに到達できるようになり、必要に応じて部分的なクライアント認証を有効にすることができます。

各非公開スペースには、デフォルトで 1 つの TLS コンテキスト (​cloudhub.io​ へのトラフィック用) が含まれています。これは削除できません。 デフォルトの証明書は自動的に更新され、ユーザーによる操作は必要ありません。 必要に応じて、追加の TLS コンテキストを作成できます。

非公開スペース用に設定する TLS コンテキストでは、アプリケーションを非公開スペースにデプロイするときに使用できるドメインを定義します。 「非公開スペースにデプロイされたアプリケーションのエンドポイントとパスの設定」を参照してください。

TLS コンテキスト

各 TLS コンテキストには、キーストアと省略可能なトラストストアが含まれます。

TLS コンテキストを作成​する手順は、次のとおりです。

  1. キーストアをアップロードします。

  2. トラストストアをアップロードします (省略可能)。

  3. デフォルトの暗号化を受け入れるか、追加または削除する暗号化を選択します。

キーストア

キーストア​は、セキュリティ証明書 (承認証明書または公開キー証明書のいずれか)、および SSL 暗号化などで使用される対応する非公開キーのリポジトリです。

キーストアにより、カスタムドメインを使用してアプリケーションと通信できます。

CloudHub 2.0 では、次のキーストア種別がサポートされています。

PEM (Privacy-Enhanced Mail)

PEM ファイルは ​.cer​、​.crt​、または ​.pem​ 拡張子の Base64 でエンコードされた ASCII ファイルです。

PEM の場合、キーストアは次の要素で構成されます。

  • 公開証明書

  • 非公開キー

  • 認証機関 (CA) パスファイル (省略可能)

PEM 形式のキーストアは、TLS のデフォルト値を使用します。

JKS (Java Keystore)

JKS ファイルは認証用のリポジトリまたは公開キー証明書であり、秘密鍵は保存されません。

JKS ファイルをアップロードして TLS のデフォルト値を使用するには、このオプションを使用します。 このオプションを使用する場合、TLS バージョン、暗号、その他の TLS 設定オプションのデフォルト値を変更することはできません。

トラストストア

トラストストアは、サーバーが部分的なクライアント認証を適用するためにチェックするクライアント証明書のセットです。 省略可能なトラストストアは、信頼できる外部クライアントまたは認証機関 (CA) を識別します。

部分的なクライアント認証を有効にするには、トラストストアを設定します。 トラストストアが設定されていない場合、部分的なクライアント認証は無効になります。

CloudHub 2.0 は、PEM 形式のトラストストアファイルを受け入れます。

DNS 対象

クライアントが非公開ネットワークの内外からアプリケーションにアクセスできるように、DNS 対象を設定します。

公開 DNS 対象​では、外部クライアントがカスタムドメインでアプリケーションにアクセスできます。 非公開 DNS 対象​には、非公開ネットワーク内から、または VPN やトランジットゲートウェイ接続を介してのみアクセスできます。接続された外部ネットワークの内部 DNS または許可リストでそれらを使用して、それらのネットワークのクライアントがアプリケーションに要求を送信できるようにします。

暗号化

TLS コンテキストを追加すると、TLS コンテキストで使用する暗号化を選択できます。

始める前に

  1. キーストアを生成します。

  2. トラストストア​を生成します (部分的なクライアント認証を有効にする場合)。

  3. ドメインの DNS レコードを作成します。

    カスタムドメインを使用して非公開スペースにデプロイされたアプリケーションにトラフィックが到達できるようにする手順は、次のとおりです。

    1. ドメイン登録機関にログインします。

      Whois​ を使用して登録機関を検索します。

    2. バニティドメインに CNAME レコードを作成し、非公開スペースの FQDN を参照します。

      登録機関が変更を適用するまでに最大 24 時間かかります。

  4. 非公開スペースを変更するために必要な「CloudHub Network Administrator (CloudHub ネットワーク管理者)」権限がアカウントにあることを確認します。

    詳細は、「チームを使用したユーザーアクセスの管理」を参照してください。

TLS コンテキストを作成する

新しい TLS コンテキストを作成する手順は、次のとおりです。

  1. Anypoint Platform から、​[Runtime Manager]​ > ​[Private Spaces (非公開スペース)]​ を選択します。

  2. 管理する非公開スペースの名前を選択します。

  3. [Domains & TLS (ドメインと TLS)]​ タブをクリックし、​[Create TLS Context (TLS コンテキストを作成)]​ をクリックします。

    「CloudHub Network Administrator (CloudHub ネットワーク管理者)」権限がない場合、​[Create TLS Context (TLS コンテキストを作成)]​ ボタンは使用できません。

  4. TLS コンテキストの名前を入力します。

    TLS コンテキスト名には、文字、数字、スペース、およびハイフンを含めることができます。

  5. キーストアを設定​します。

    PEM 形式
    1. [Upload PEM files (PEM ファイルをアップロード)]​ を選択します。

    2. [Choose File (ファイルを選択)]​ をクリックし、アップロードする公開証明書を選択します。

      公開証明書をアップロードすると、証明書の概要が表示されます。

      • キーストアの詳細を表示するには、​[…​]​ > ​[View Details (詳細を表示)]​ をクリックします。

      • 公開証明書を削除するには、​[…​]​ > ​[Delete (削除)]​ をクリックします。

    3. [Choose File (ファイルを選択)]​ をクリックし、アップロードする非公開キーを選択します。

    4. キーストア内の非公開キーへのアクセスに使用するキーパスワードを入力します。

      非公開キーが暗号化されていない (プレーンテキストの) 場合 (非推奨)、​[Key Password (キーパスワード)]​ 項目は空白のままにします。

      CloudHub 2.0 により、キーストアに対してパスワードが検証されます。

    5. 認証機関 (CA) パス証明書ファイルがある場合は、​[Choose file (ファイルを選択)]​ をクリックしてアップロードします。

    JKS 形式
    1. [Upload JKS file (JKS ファイルをアップロード)]​ を選択します。

    2. [Choose File (ファイルを選択)]​ をクリックし、アップロードするキーストアファイルを選択します。

    3. キーストアファイルにアクセスするために使用するパスワードを入力します。

      CloudHub 2.0 により、キーストアに対してパスワードが検証されます。

    4. ドロップダウンリストから別名を選択します。

      別名を選択すると、別名の概要が表示されます。

      [i]​ をクリックすると、別名の詳細が表示されます。

    5. キーストア内の非公開キーへのアクセスに使用するキーパスワードを入力します。

      CloudHub 2.0 により、キーに対してパスワードが検証されます。

  6. 「​始める前に​」の手順に従って、DNS を設定します。

  7. トラストストアを設定します (省略可能)。

    部分的なクライアント認証を使用する場合は、トラストストアを設定します。 トラストストアでは、設定されたキーストアで部分的なクライアント認証を有効にするために使用するクライアント証明書を定義します。

    [Add Certificates (証明書を追加)]​ をクリックし、証明書ファイル (PEM 形式) をアップロードします。

    PEM ファイルをアップロードすると、CloudHub 2.0 にトラストストアファイルからのクライアント証明書が表示されます。

    • 追加の証明書ファイルをアップロードするには、​[Add Certificates (証明書を追加)]​ をクリックします。

    • 個々のクライアント証明書の詳細を表示するには、情報アイコン (​[View Details (詳細を表示)]​) をクリックします。

    • 個々のクライアント証明書を削除するには、ゴミ箱アイコン (​[Delete (削除)]​) をクリックします。

    • 5 個以上の証明書がアップロードされている場合、​[Show all x Certificates (x 個すべての証明書を表示)]​ をクリックしてリンクを展開します。

  8. 詳細オプションを設定します (省略可能)。

    暗号化をカスタマイズする場合、詳細オプションを設定します。

    1. [Advanced Options (詳細オプション)]​ をクリックして暗号化設定を表示します。

    2. [Use Default Ciphers (デフォルトの暗号化を使用)]​ または ​[Customize Ciphers (暗号化をカスタマイズ)]​ を選択します。

      暗号化のカスタマイズを選択した場合、CloudHub 2.0 にデフォルトの (選択済みの) 暗号化が表示されます。

      • リストから暗号化を削除するには、​[X]​ をクリックします。

      • ドロップダウンリストから別の暗号を選択するには、​[Select (選択)]​ をクリックします。

  9. 変更を破棄するには、​[Create TLS Context (TLS コンテキストを作成)]​ または ​[Cancel (キャンセル)]​ をクリックします。

TLS コンテキストの詳細を表示する

  1. Anypoint Platform から、​[Runtime Manager]​ > ​[Private Spaces (非公開スペース)]​ を選択します。

  2. 管理する非公開スペースの名前を選択します。

  3. [Domains & TLS (ドメインと TLS)]​ タブのカスタム TLS セクションで、TLS コンテキストメニュー (​[…​]​) をクリックし、​[View Details (詳細を表示)]​ を選択します。

TLS コンテキストを削除する

  1. Anypoint Platform から、​[Runtime Manager]​ > ​[Private Spaces (非公開スペース)]​ を選択します。

  2. 管理する非公開スペースの名前を選択します。

  3. [Domains & TLS (ドメインと TLS)]​ タブのカスタム TLS セッションで、TLS コンテキストメニュー (​[…​]​) をクリックし、​[Delete (削除)]​ を選択します。

    [Delete (削除)]​ オプションは、「CloudHub Network Administrator (CloudHub ネットワーク管理者)」権限がある場合にのみ表示されます。

TLS コンテキストを編集する

  1. Anypoint Platform から、​[Runtime Manager]​ > ​[Private Spaces (非公開スペース)]​ を選択します。

  2. 管理する非公開スペースの名前を選択します。

  3. [Domains & TLS (ドメインと TLS)]​ タブをクリックし、​[Edit (編集)]​ をクリックします。

    [Edit (編集)]​ ボタンは、「CloudHub Network Administrator (CloudHub ネットワーク管理者)」権限がある場合にのみ表示されます。

  4. キーストアを設定​します。

    PEM 形式
    1. [Choose file (ファイルを選択)]​ をクリックし、現在の公開証明書を新しい公開証明書に置き換えます。

      公開証明書を置き換えない限り、非公開キーまたはパスワードを変更することはできません。

      公開証明書をアップロードすると、証明書の概要が表示されます。

      情報アイコン (​[View Details (詳細を表示)]​) をクリックすると、キーストアの詳細が表示されます。

    2. アップロードする非公開キーを選択します。

    3. キーストア内の非公開キーへのアクセスに使用するパスワードを入力します。

      キーパスワードが暗号化されていない (プレーンテキストの) 場合 (非推奨)、​[Key Password (キーパスワード)]​ 項目は空白のままにします。

      CloudHub 2.0 により、キーストアに対してパスワードが検証されます。

    4. 認証機関 (CA) パス証明書ファイルがある場合は、​[Choose file (ファイルを選択)]​ をクリックしてアップロードします。

      公開証明書を置き換えることなく、CA パス証明書を削除および追加できます。

    JKS 形式
    1. [Choose file (ファイルを選択)]​ をクリックし、現在のキーストアファイルを新しいキーストアファイルに置き換えます。

    2. キーストアファイルにアクセスするために使用するパスワードを入力します。

      CloudHub 2.0 により、キーストアに対してパスワードが検証されます。

    3. ドロップダウンリストから別名を選択します。

      キーストアファイルを置き換えることなく、異なる別名を選択できます。

      別名を選択すると、別名の概要が表示されます。

      情報アイコン (​[View Details (詳細を表示)]​) をクリックすると、別名の詳細が表示されます。

    4. キーストア内の非公開キーへのアクセスに使用するキーパスワードを入力します。

      CloudHub 2.0 により、キーに対してパスワードが検証されます。

  5. トラストストアを設定します (省略可能)。

    部分的なクライアント認証を使用する場合は、トラストストアを設定します。 トラストストアでは、設定されたキーストアで部分的なクライアント認証を有効にするために使用するクライアント証明書を定義します。

    [Add Certificates (証明書を追加)]​ をクリックし、証明書ファイル (PEM 形式) をアップロードします。

    PEM ファイルをアップロードすると、CloudHub 2.0 にトラストストアファイルからのクライアント証明書が表示されます。

    • 追加の証明書ファイルをアップロードするには、​[Add Certificates (証明書を追加)]​ をクリックします。

    • 個々のクライアント証明書の詳細を表示するには、情報アイコン (​[View Details (詳細を表示)]​) をクリックします。

    • 個々のクライアント証明書を削除するには、ゴミ箱アイコン (​[Delete (削除)]​) をクリックします。

  6. 詳細オプションを設定します (省略可能)。

    暗号化をカスタマイズする場合、詳細オプションを設定します。

    1. [Advanced options (詳細オプション)]​ をクリックして暗号化設定を表示します。

    2. [Use Default Ciphers (デフォルトの暗号化を使用)]​ または ​[Customize Ciphers (暗号化をカスタマイズ)]​ を選択します。

      暗号化のカスタマイズを選択した場合、CloudHub 2.0 にデフォルトの (選択済みの) 暗号化が表示されます。

      • リストから暗号化を削除するには、​[X]​ をクリックします。

      • 別の暗号化を選択するには、​[Select a cipher to add (追加する暗号化を選択)]​ をクリックします。

  7. 変更を破棄するには、​[Update TLS Context (TLS コンテキストを更新)]​ または ​[Cancel (キャンセル)]​ をクリックします。