ロード・バランサSSL証明書

Compute Cloud@Customerでは、ロード・バランシング・サービスを介してSSL証明書をインポートおよび管理できます。サービスは証明書を生成しません。

SSL証明書は、VeriSignやGoDaddyなどのベンダーによって発行される証明書、またはOpenSSLやLet's Encryptなどのツールを使用して生成する自己署名証明書です。

リスナーのHTTPSまたはSSLを構成する場合、SSLサーバー証明書がロード・バランサに関連付けられている必要があります。証明書によって、ロード・バランサは、接続を終了し、受信リクエストをバックエンド・サーバーに渡す前に復号化することができます。ロード・バランサには次のSSL構成を適用できます:

• SSLターミネーション:ロード・バランサは、着信SSLトラフィックを扱い、暗号化されていないリクエストをバックエンド・サーバーに渡します。
• ポイントツーポイントSSL:ロード・バランサは、受信トラフィック・クライアントとSSL接続を終了し、バックエンド・サーバーへのSSL接続を起動します。
• SSLトンネリング: TCPトラフィック用にロード・バランサ・リスナーを構成すると、ロード・バランサは、受信SSL接続をアプリケーション・サーバーにトンネリングのリングします。

ロード・バランシングは、デフォルトで強力な暗号強度が設定されたTLS 1.2プロトコルをサポートしています。

ロード・バランサとそのリソースで標準SSLを使用するには、証明書を指定する必要があります。ロード・バランサで相互TLS (mTLS)を使用するには、1つ以上の証明書認証局バンドル(CAバンドル)をシステムに追加する必要があります。証明書バンドルには、パブリック証明書、対応する秘密キー、および関連付けられた認証局(CA)の証明書が含まれています。証明書バンドルを関連付けるリスナーまたはバックエンド・セットを作成する前に、証明書バンドルをアップロードすることをお薦めします。PEM形式のX.509証明書のみが受け入れられます。

ロード・バランサは、通常、単一のドメイン証明書を使用します。ただし、リクエスト・ルーティング構成を含むリスナーを使用するロード・バランサには、サブジェクト代替名(SAN)証明書(マルチ・ドメイン証明書とも呼ばれる)またはワイルドカード証明書が必要になる場合があります。ロード・バランシング・サービスは、これらの各証明書タイプをサポートします。