今年の2月よりサイトのCDN(Content Delivery Network)化していたが、ようやく先日、CDNもSSL化して一応の設定は完了した。
メインのショップのお知らせサイトやこのブログサイトの配信自体をCDN技術を利用して行っている。
サイトのプラットフォームは、ファーストサーバのZenlogicを利用し、CDNもZenlogic CDNを利用している。
Zenlogic CDN申込み
Zenlogic CDNの申込みは、カスタマーポータルサイトからお問い合わせでCDN導入について質問し、カスタマーセンターより回答として申込用紙のPDFを指定される。
その用紙に必要事項を記入し、押印したものをFAXまたはスキャンデータをメールすることにより申込みとなる。
CDNで配信予定のサブドメインの仮設定
Zenlogicでは、ドメイン名でWEBが利用できるように設定されているが、CDNでの配信をサブドメイン名でおこなうようサブドメインをドメイン設定で設定しなければならない。
CDN経由の配信は「www.example.com」、オリジンサーバは「example.com」の場合は、ドメイン設定追加で①ドメイン名管理状況を選択し、②対象ドメイン名のサブドメインを設定し「www」を入力し、③DNSゾーンは作成しない、④WEB機能を利用する、⑤メール機能を利用しないに設定する。
そして、作成されたドメイン名www.example.comにアクセスできるようexample.comのDNSゾーンを設定してする。
設定値は、www.example.com. CNAME mail.example.com. (メール機能をドメイン名で利用している場合)とする(ピリオド忘れないでね。メール機能を使っていない場合は、www.example.com A IPアドレスで設定する)。
これでドメイン関係の設定は仮に完了したことになる。
仮に設定する理由は、zenlogicのサーバへアクセスできる状態でないとSSLサーバー証明書のキーペアファイルが出力できないからである。
本設定は最後に設定することとなる。
CDNに対応したSSLサーバ証明書へ申し込む
Zenlogic CDNに対応しているSSLサーバ証明書はFAQ(ZenlogicCDNで利用可能なSSLサーバー証明書はありますか。)にあるように複数用意されている。
このサイトは安価なジオトラストクイックSSLプレミアムを利用したが、それぞれのサイトにあったものを選択し申し込むことになる。
申込み自体は、カスタマーポータルサイト-サービスの申込み-「SSLサーバー証明書取得・管理 お申込み」からおこなえる。
SSLを提供しているサービスによっては、コモンネームでwww.などサブドメインのありなしが区別され、サブドメインで設定すると、サブドメインなしにも対応してくれるものもある。
このサイトが採用したジオトラストクイックSSLプレミアムでは、ありでコモンネーム(www.example.com)を設定したので、なし(example.com)でもSSLサーバー証明書が利用できる。
これはCDNを利用するとき重要だと思う。例えば、CDNのコモンネームをwww.example.comにして、オリジンサーバをexample.comにする場合、一つのSSLサーバー証明書で対応できるからだ。
SSLサーバ証明書の設定とドキュメントルートの設定
SSLサーバー証明書が利用できるようになったら、ZenlogicのコントロールパネルのWEBドメイン設定でSSLサーバー証明書を設定したいドメイン名に証明書設定し、その後、ドキュメントルートを設定する。
ドキュメントルートは、例えば、Wordpressを設置しているのであれば、そのファイル郡をアップロードしているディレクトリを設定することになる。
SSLサーバー証明書のキーペアファイルの取得
ファーストサーバのカスタマー宛に、SSLサーバー証明書のキーペアファイルを取得したい旨を連絡(メール)して、必要な書類(様式)を取得する。
そして、取得した用紙に必要事項を記入の上、記名押印して指示されたFAXへ送信することにより早ければ当日、遅くとも数日以内にキーペアファイルがメールで送信されてくる。
なお、用紙の記入については、メールで記入方法等の指示がある。
CDNの設定
Zenlogic CDNのプラットフォームは、Jstream CDNextを利用しているため、Jstream CDNのアカウント情報がカスタマーセンターより後日メールされる。
その情報をもとにJstream CDNextのコントロールパネルにログインすることになる(それまで本アカウント登録を完了させること)。
CDNホスト一覧のCDNホスト追加で、CDNとして利用するホストを登録していくことになる。
オリジンサーバを設定していくが、オリジンリスト追加で①オリジンリスト名 ②プロトコル ③オリジンリストを設定する。
オリジンリスト名は、識別しやすい名前を設定することになる。
プロトコルは、オリジンサーバが採用しているプロトコル形式(HTTPS)を選択する。
オリジンリストは、オリジンサーバのIPアドレスを入力する。ZenlogicであればIPアドレスは、コントロールパネルのサーバー情報にIPアドレスが表示されていますのでその値を入力する。ポート番号はプロトコルによって変わっていく(httpであれば80、httpsであれば443)。
オプション設定のSSLを登録する(SSL証明のインストール)
オプション設定欄にあるSSLボタンを押してSSL証明を登録していきます。
「+SSL証明書リスト追加」ボタンを押し、SSL証明書を登録する画面を出します。
証明書名は、認識しやすい名称を入力します。複数SSL証明書を登録するのであれば、よく名称を検討することをおすすめします。
秘密鍵の欄には、ファーストサーバからメールで送付されてきたキーペアファイルのうち「~.key」ファイルの中身をコピー&ペーストする。
証明書の欄には、同じように「~.pem」ファイルの中身をコピー&ペーストする。
これによりCDNサーバにSSL証明書がインストールされる。
CDNサーバ基本設定の設定をする
つぎに基本設定をしていく。
基本タブのCDNホスト名は、認識しやすい名称にする。
次にFQDNタブのデフォルトFQDNは、CDNで利用するCDNサーバのFQDN名を入力する(当ブログの場合は、www.bowlingshop.jpとしている)。その下にあるCNAME情報は後でDNSゾーン値変更時に必要となる。
次にオリジンタブのオリジン種別は「お客様オリジン」を選択し、フェッチプロトコルは「HTTPS」を選択し、オリジンリストは上記で設定したオリジンリスト名を選択する。Hostヘッダは、上記で入力したFQDN名を入力し、オリジンパスとLocation変換は必要に応じて入力する(当ブログでは入力していない。空白)。
次にSSLタブのSSL証明書リスト選択は、SSL証明書リストで追加したリスト名を選択する。複数ある場合は適用したいSSL証明書リスト名を選択する。
HTTP/HTTPS強制リダイレクトは、最適なものを選択すること(HTTP強制は選択しない)。
DNSゾーン編集、CDNサーバへユーザーアクセスを誘導
最後にCDNサーバへユーザがアクセスできるようにDNSゾーンを編集していく。
上記で仮設定した「www.example.com. CNAME mail.example.com.」を「www.example.com. CNAME ~.cdnext.stream.ne.jp.」に変更する(~.cdnext.stream.ne.jpは、上記CDNサーバ基本設定にあったCNAME情報にあるFQDN名のこと)。
これにより数時間から数日かけて全世界のDNSサーバーの情報が書き換えられて、ユーザーはCDNサーバへアクセスされるようになる。
以上で、Zenlogic CDNのSSL化の設定は終わり。これでユーザー = CDNサーバ = オリジンサーバ間の通信が暗号化される。
もともとZenlogic CDNをHTTPプロトコル(ノンSSL)で利用していた人がSSLに変える場合でCDNのFQDN名の変更しない場合は、CDNサーバへアクセス誘導しているDNSゾーンを一旦Zenlogicサーバへアクセスできるように書き換えしなければ、SSLサーバー証明書のキーペアファイルが出力されないので、少々手間が必要である。
この他CDNを運用していくと、ヒット率を上げようとチューニングするのだが、CDNサーバの細かな設定はおいおい紹介していく。
