このトピックでは、拡張仮想ホスティングを仮想サービスで構成するための具体的な手順のほか、親仮想サービスと子仮想サービスの構成についても詳しく説明します。

拡張仮想ホスティングの構成

拡張仮想ホスティングを有効化するには、次の手順を実行します。

1. [アプリケーション ] > [仮想サービス] の順に移動します。[仮想サービスの作成] をクリックするか、既存の仮想サービスを編集モードで開きます。

2. [仮想ホスティング VS] をクリックし、[親] または [子] を選択して、これが SNI 対応の仮想ホスト型仮想サービスの親または子であることを指定します。

3. [仮想ホスティング タイプ] で、[拡張仮想ホスティング] を選択します。

注:

親とその子仮想サービスの両方が同じ仮想ホスティング タイプになるようにします。

SSL プロファイルと証明書構成

許可される証明書が 2 つのみでそれぞれ RSA タイプ と EC タイプという通常の仮想サービスや SNI 仮想サービスとは異なり、EVH の親では、ドメイン名証明書を複数構成できます。TLS サーバ名は構成済み証明書に対して検索され、一致する証明書は TLS 接続で提供されます。TLS サーバ名が存在しない場合、または TLS サーバ名が構成済みの証明書のコモン ネーム/SAN/DNS 情報のいずれにも一致しない場合、構成済みの証明書(デフォルト証明書)のリストの 1 つ目の証明書が、その接続に提供されます。



子仮想サービスごとに、個別のアプリケーション プロファイル、WAF プロファイルなどを持たせることができます。



親仮想サービス

EVH の親仮想サービスは、vh_matches 構成なしで構成されます。仮想サービスでは、要求を受信する前に、すべてのトラフィックを受信し、必要に応じて TLS ターミネーションを実行します。

親仮想サービスでは、この仮想ホスティングで複数の証明書が構成されるのを許可し、SSL 接続については、親仮想サービスで、クライアントによって要求されている TLS サーバ名と使用される暗号に基づいて、一致するサーバ証明書を選択します。サーバ名が要求される場合、または一致するものが見つからない場合は、仮想サービスに構成した中で 1 つ目の証明書が使用されます。TLS 相互認証の場合、PKI プロファイルを構成するのは親仮想サービスのみにしなければなりません。TLS ハンドシェイクが完了すると、親ではすべての要求を受信し、子に構成されているホスト名やパスと照合し、一致する子仮想サービスを選択して、その仮想サービスに要求を渡します。子仮想サービスの構成のいずれも要求に一致しない場合、その要求は親仮想サービス構成によって処理されます。基本的に接続は親のままですが、処理される要求は子に切り替えたままになります。



子仮想サービス

EVH の子仮想サービスの構成は、ホストとパスの一致構成です。親仮想サービスでは TCP および SSL ターミネーションを実行し、その仮想サービスには、要求ホストと URL が子仮想サービスの vh_matches 構成と一致する場合、要求処理が送信されます。子仮想サービスの下では、複数のホストにそれぞれ複数のパス一致を持たせる構成が可能です。vh_matches 構成が競合しない複数の子仮想サービスを、親仮想サービスに関連付けることができます。子仮想サービスでは TLS ターミネーションを実行できず、SSL プロファイル、SSL キーと証明書、PKI プロファイルなどの SSL 構成を受け入れません。

子仮想サービスに構成したアプリケーション プロファイル、ポリシー、データスクリプト、キャッシュと圧縮、WAF プロファイルからの要求や応答に固有の構成設定はすべて、その子仮想サービスによって処理される要求に適用されます。



EVH 子の選択

親 EVH 仮想サービスでは TCP/SSL 接続を終了し、HTTP 要求ライン処理を行います。一致する子の検索には、URI、Host ヘッダー、一致基準に基づいて、ルックアップ キーが使用されます。

パス ルックアップ基準

サポートされているパス ルックアップ基準は次のとおりです。

  • 次と等しい

  • 次で始まる

  • 正規表現パターン一致

一致する子仮想サービスの検索は、ここに示した検索順序で実行されます。

仮想サービスの EVH を構成する際は、次の点に注意してください。

  • 仮想ホスティング仮想サービスは、SNI または EVH のいずれかにする必要があります。

  • 親仮想サービスに EVH が定義されている場合は、次の点に注意してください。

    • 子仮想サービスには、証明書を添付することも、SSL プロファイルを適用することもできません。

    • 子仮想サービスでは、同じホスト値で複数の vh_matches 構成は許可されません。子仮想サービスでは、ホスト 1 台にパスを複数構成できます。

    • 2 つ以上の子仮想サービスで同じ組み合わせを共有することはできません。

  • 親仮想サービスを別の親仮想サービスの子にすることはできません。

  • HTTP/2 は EVH 仮想サービスでサポートされます。

  • OCSP Stapling は、1 つ目の/デフォルトの証明書以外の証明書では機能しません。