Azure API Management インスタンスのカスタム ドメイン名を構成する

既にサードパーティ プロバイダーからのプライベート証明書がある場合は、それを API Management インスタンスにアップロードすることができます。 次の要件を満たしている必要があります (無料の API Management によるマネージド証明書を有効にした場合は、既にこれらの要件を満たしています)。

• Triple DES を使用して暗号化され、必要に応じてパスワードで保護された PFX ファイルとしてエクスポートされている
• 少なくとも 2048 ビット長の秘密キーが含まれている
• 証明書チェーン内のすべての中間証明書およびルート証明書が含まれている。

Azure Key Vault を使用して証明書を管理し、それらを autorenew に設定することをお勧めします。

Azure Key Vault を使用してカスタム ドメインの TLS 証明書を管理する場合は、その証明書が、"シークレット" ではなく "証明書"として Key Vault に挿入されていることを確認してください。

TLS/SSL 証明書を取得するには、証明書が格納されている Azure Key Vault に対するシークレットの一覧表示および取得のアクセス許可が、API Management に付与されている必要があります。

• Azure portal を使用して証明書をインポートすると、必要なすべての構成手順が自動的に完了します。

• コマンド ライン ツールまたは管理 API を使用するときは、これらのアクセス許可を手動で付与する必要があります (2 ステップ)。

  1. API Management インスタンスの [マネージド ID] ページで、システムによって割り当てられた、またはユーザーが割り当てたマネージド ID を有効にします。 そのページのプリンシパル ID をメモしておきます。
  2. キー コンテナーにアクセスするためのアクセス許可をマネージド ID に割り当てます。 次のセクションにある手順を使用します。

  キー コンテナーへのアクセスを構成する

  1. Azure ポータルでキー ボールトに移動します。
  2. 左側のメニューで、[設定]>[Access の構成] を選択します。 構成されている アクセス許可モデルをメモします。
  3. アクセス許可モデルに応じて、API Management マネージド ID のキー コンテナー アクセス ポリシーまたは Azure RBAC アクセスを構成します。

  キー コンテナーのアクセス ポリシーを追加するには:

  1. 左側のメニューで、[アクセス ポリシー] を選択します。
  2. [アクセス ポリシー] ページで、[+ 作成] を選択します。
  3. [ アクセス許可 ] タブの [ シークレットのアクセス許可] で、[ 取得 と 一覧表示] を選択し、[ 次へ] を選択します。
  4. [ プリンシパル ] タブで、マネージド ID のリソース名を検索し、[ 次へ] を選択します。 システムによって割り当てられた ID を使用している場合、プリンシパルは API Management インスタンスの名前です。
  5. もう一度 [次へ] を選択します [確認および作成] タブで、[作成] を選択します。

  Azure RBAC アクセスを構成するには:

  1. 左側のメニューで [アクセス制御 (IAM)] を選択します。
  2. [アクセス制御 (IAM)] ページで、[ロールの割り当てを追加] を選択します。
  3. [ロール] タブで、[キー コンテナー証明書ユーザー] を選択します。
  4. [メンバー] タブで、[マネージド ID]>[+ Select members] (+ メンバーの選択) を選択します。
  5. [ マネージド ID の選択 ] ウィンドウで、API Management インスタンスに関連付けられているシステム割り当てマネージド ID またはユーザー割り当てマネージド ID を選択し、[ 選択] をクリックします。
  6. [確認と割り当て] を選択します。

証明書が autorenew に設定されていて、API Management のレベルに (つまり、Developer レベルを除くすべてのレベルに) SLA がある場合は、API Management によって、サービスにダウンタイムを発生させることなく、最新バージョンが自動的に取得されます。

詳細については、「Azure API Management でマネージド ID を使用する」を参照してください。

独自の証明書を購入して管理しない場合は、API Management によってドメインに無料のマネージド TLS 証明書が提供されます。 証明書は自動更新されます。

Limitations

• 現在、API Management サービスのゲートウェイ エンドポイントでのみ使用できます
• v2 レベルではサポートされていません
• セルフホステッド ゲートウェイではサポートされていません
• 次の Azure リージョンではサポートされていません: フランス南部と南アフリカ西部
• 現在、Azure Cloud でのみ利用できます
• ルートドメイン名 (contoso.com など) はサポートされていません。 api.contoso.com のような完全修飾名が必要です。
• パブリック ドメイン名のみをサポート
• 既存の API Management インスタンスを更新する場合にのみ構成でき、インスタンスを作成する場合は構成できません

DigiCert IP アドレスへのアクセスを許可する

2026 年 1 月以降、Azure API Management では、マネージド証明書を更新 (ローテーション) するために、 特定の DigiCert IP アドレス へのポート 80 への受信アクセスが必要です。

API Management インスタンスで受信 IP アドレスが制限されている場合は、デプロイ アーキテクチャに基づいて次のいずれかの方法を使用して、既存の IP 制限を削除または変更することをお勧めします。

API Management で IP フィルター ポリシーを削除または編集する

IP フィルターなどの組み込みポリシーを使用して IP アドレス制限を実装した場合:

1. Azure portal にサインインし、API Management インスタンスに移動します。
2. [API] で、ポリシーが適用される API (またはグローバル変更のすべての API) を選択します。
3. [ デザイン ] タブの [ 受信処理] で、コード エディター (</>) アイコンを選択します。
4. IP 制限ポリシー ステートメントを見つけます。
5. 次のいずれかの操作を行います。
   • 制限を完全に削除するには、XML スニペット全体を削除します。
   • 要素を編集して、必要に応じて特定の IP アドレスまたは範囲を含めたり削除したりします。 DigiCert IP アドレスを許可リストに追加することをお勧めします。
6. [ 保存] を 選択して、変更をすぐにゲートウェイに適用します。

ネットワーク セキュリティ グループの規則を変更する (外部仮想ネットワークのデプロイ)

外部モードで仮想ネットワークに API Management インスタンスをデプロイする場合、通常、受信 IP 制限はサブネット上のネットワーク セキュリティ グループ規則を使用して管理されます。

サブネットで構成したネットワーク セキュリティ グループを変更するには:

1. Azure portal で、[ ネットワーク セキュリティ グループ] に移動します。
2. API Management サブネットに関連付けられているネットワーク セキュリティ グループを選択します。
3. >] で、IP 制限を適用している規則 (たとえば、削除または拡大する特定のソース IP 範囲やサービス タグを持つ規則) を見つけます。
4. 次のいずれかの操作を行います。
   • 制限付きルールを削除する: ルールを選択し、[削除] オプションを選択します。
   • ルールを編集します: ソース を IP アドレス に変更し、DigiCert IP アドレスをポート 80 の許可リストに追加します。
5. 保存 を選択します。

内部仮想ネットワークのデプロイ

API Management インスタンスが 内部モードで仮想ネットワークに デプロイされ、Azure Application Gateway、Azure Front Door、または Azure Traffic Manager に接続されている場合は、次のアーキテクチャを実装する必要があります。

Azure Front Door/Traffic Manager → Application Gateway → API Management (内部仮想ネットワーク)

Application Gateway インスタンスと API Management インスタンスの両方を同じ仮想ネットワークに挿入する必要があります。 Application Gateway と API Management の統合の詳細について説明します。

手順 1: API Management の前に Application Gateway を構成し、ネットワーク セキュリティ グループで DigiCert IP アドレスを許可する

1. Azure portal でネットワーク セキュリティ グループ に移動し、API Management サブネットのネットワーク セキュリティ グループを選択します。
2. >] で、IP 制限を適用している規則 (たとえば、削除または拡大する特定のソース IP 範囲やサービス タグを持つ規則) を見つけます。
3. 次のいずれかの操作を行います。
   • 制限付きルールを削除する: ルールを選択し、[削除] オプションを選択します。
   • ルールを編集します: ソース を IP アドレス に変更し、DigiCert IP アドレスをポート 80 の許可リストに追加します。
4. 保存 を選択します。

手順 2: トラフィック マネージャーから API Management インスタンスへのターゲット カスタム ドメイン/ホスト名を保持する

デプロイに基づいて、次の 1 つ以上の操作を行います。

• ホスト ヘッダーを保持するように Azure Front Door を構成します (元のホスト ヘッダーを転送します)。

  • Azure Front Door (クラシック):バックエンド ホスト ヘッダーを (Application Gateway FQDN ではなく) API Management ホスト名に設定するか、カスタム ドメインを使用する場合は [受信ホスト ヘッダーを保持する] を選択します。
  • Azure Front Door Standard/Premium:Route > Origin > Origin の設定で、[Forward Host Header]\(ホスト ヘッダーの転送\) を有効にし、[Original host header]\(元のホスト ヘッダー\) を選択します。

• ホスト ヘッダーを保持するように Application Gateway を構成します。

  HTTP 設定で、次のいずれかの操作を行って、Application Gateway がホスト ヘッダーを書き換えずにリバース プロキシとして機能することを確認します。

  • [ホスト名のオーバーライド] を [いいえ] に設定します。
  • ホスト名のオーバーライドを使用する場合は、 受信要求からホスト名を選択 する (推奨) を設定します。

• API Management に一致するカスタム ドメインがあることを確認します。

  内部仮想ネットワーク モードの API Management では、構成した API Management カスタム ドメインと一致する受信ホスト名が引き続き必要です。

  例えば次が挙げられます。

  レイヤー	ホスト ヘッダー
  クライアント → Azure Front Door	api.contoso.com
  Azure Front Door（アジュール・フロント・ドア）→ Application Gateway（アプリケーション・ゲートウェイ）	api.contoso.com
  Application Gateway → API Management	api.contoso.com

  受信ホスト名が構成されたカスタム ドメインと一致しない場合、API Management は要求を拒否します。

  Important

  同じドメイン api.contoso.com上の Azure Front Door で無料のマネージド証明書を構成した場合、API Management の無料のマネージド証明書機能を使用することはできません。 代わりに、独自の証明書を持ち込み、カスタム ドメインの API Management にアップロードすることをお勧めします。

Azure Firewall の規則を使用している場合は変更する

Azure Firewall が API Management インスタンスを保護する場合は、ファイアウォールのネットワーク規則を変更して、ポート 80 の DigiCert IP アドレスからの受信アクセスを許可します。

1. Azure Firewall インスタンスに移動します。
2. > (またはネットワーク ルール) で、規則コレクションと、API Management インスタンスへの受信アクセスを制限する特定の規則を見つけます。
3. 規則を編集または削除して、DigiCert IP アドレスをポート 80 の許可リストに追加します。
4. [ API アクセスの保存とテスト] を選択します。

1. Azure portal で API Management インスタンスに移動します。
2. 左側のナビゲーションで [カスタム ドメイン] を選択します。
3. [+ 追加] を選択するか、更新する既存のエンドポイントを選択します。
4. 右側のウィンドウで、カスタム ドメインのエンドポイントの [種類] を選択します。
5. [ホスト名] フィールドで、使用する名前を指定します。 たとえば、「api.contoso.com」のように入力します。
6. [証明書] で、[カスタム] を選択します。
7. [証明書ファイル] を選択し、証明書を選択してアップロードします。
8. 証明書がパスワードで保護されている場合は、有効な .PFX ファイルをアップロードし、その [パスワード] を指定します。
9. ゲートウェイ エンドポイントを構成する場合は、必要に応じて他のオプションを選択または選択解除します ([クライアント証明書のネゴシエート] や [既定の SSL バインディング] など)。
10. [+ 追加] を選択するか、既存のエンドポイントの [更新] を選択します。
11. 保存 を選択します。

1. Azure portal で API Management インスタンスに移動します。
2. 左側のナビゲーションで [カスタム ドメイン] を選択します。
3. [+ 追加] を選択するか、更新する既存のエンドポイントを選択します。
4. 右側のウィンドウで、カスタム ドメインのエンドポイントの [種類] を選択します。
5. [ホスト名] フィールドで、使用する名前を指定します。 たとえば、「api.contoso.com」のように入力します。
6. [証明書] で、[キー コンテナー]、[選択] の順に選択します。
   1. ドロップダウン リストから、[サブスクリプション] を選択します。
   2. ドロップダウン リストから、[キー コンテナー] を選択します。
   3. 証明書が読み込まれたら、ドロップダウン リストから [証明書] を選択します。 [選択] をクリックします。
   4. [クライアント ID] で、キー コンテナーにアクセスするためにインスタンスで有効になっているシステム割り当て ID またはユーザー割り当てマネージド ID を選択します。
7. ゲートウェイ エンドポイントを構成する場合は、必要に応じて他のオプションを選択または選択解除します ([クライアント証明書のネゴシエート] や [既定の SSL バインディング] など)。
8. [+ 追加] を選択するか、既存のエンドポイントの [更新] を選択します。
9. 保存 を選択します。

1. Azure portal で API Management インスタンスに移動します。
2. 左側のナビゲーションで [カスタム ドメイン] を選択します。
3. [+ 追加] を選択するか、更新する既存のエンドポイントを選択します。
4. 右側のウィンドウで、カスタム ドメインのエンドポイントの [種類] を選択します。
5. [ホスト名] フィールドで、使用する名前を指定します。 たとえば、「api.contoso.com」のように入力します。
6. [証明書] で [マネージド] を選択して、無料の API Management によるマネージド証明書を有効にします。 マネージド証明書は、ゲートウェイ エンドポイントでのみプレビューで使用できます。
7. 次の値をコピーし、それらを使用して DNS を構成します。
   • TXT レコード
   • CNAME レコード
8. ゲートウェイ エンドポイントを構成する場合は、必要に応じて他のオプションを選択または選択解除します ([クライアント証明書のネゴシエート] や [既定の SSL バインディング] など)。
9. [+ 追加] を選択するか、既存のエンドポイントの [更新] を選択します。
10. 保存 を選択します。

CNAME レコード

カスタム ドメイン名 (例: api.contoso.com) から API Management サービスのホスト名 (例: yourapim-service-name.azure-api.net) をポイントする CNAME レコードを構成します。 CNAME レコードは、IP アドレスが変更された場合の A レコードよりも安定しています。 詳細については、「Azure API Management の IP アドレス」と API Management の FAQ に関するページを参照してください。

CNAME レコード

カスタム ドメイン名 (例: api.contoso.com) から API Management サービスのホスト名 (例: yourapim-service-name.azure-api.net) をポイントする CNAME レコードを構成します。 CNAME レコードは、IP アドレスが変更された場合の A レコードよりも安定しています。 詳細については、「Azure API Management の IP アドレス」と API Management の FAQ に関するページを参照してください。

CNAME レコード

カスタム ドメイン名 (例: api.contoso.com) から API Management サービスのホスト名 (例: yourapim-service-name.azure-api.net) をポイントする CNAME レコードを構成します。 CNAME レコードは、IP アドレスが変更された場合の A レコードよりも安定しています。 詳細については、「Azure API Management の IP アドレス」と API Management の FAQ に関するページを参照してください。

TXT レコード

API Management の無料のマネージド証明書を有効にする場合は、ドメイン名の所有権を確立するために DNS ゾーンに TXT レコードも構成します。

• レコードの名前は、apimuid というプレフィックスが付くカスタム ドメイン名です。 例: apimuid.api.contoso.com.
• 値は、API Management インスタンスによって提供されるドメイン所有権識別子です。

ポータルを使用してカスタム ドメインの無料のマネージド証明書を構成すると、必要な TXT レコードの名前と値が自動的に表示されます。

ドメイン所有権識別子の取得 REST API を呼び出してドメイン所有権識別子を取得することもできます。