AWS Certificate ManagerでSSLをお手軽に!

AWS運用自動化サービス「Cloud Automator」
この記事は1年以上前に書かれたものです。
内容が古い可能性がありますのでご注意ください。

こんにちは。技術1課の高橋です。最近日比谷公園の鉄棒やつり輪でトレーニングをしています。Street Workoutってやつですな。

さて今回は AWS Certificate Manager を利用して、簡単にSSLを利用する方法をご紹介します。

AWS Certificate Manager とは

AWS Certificate Manager(以下、ACM)とは、AWS上でお手軽にSSLを利用することのできるサービスです。

通常SSLを利用するには、CSRファイルを作成し認証局にお金を払い…等々の作業が必要になりますが、ACMを利用することで簡単にSSLを利用することができます。

ACM利用のポイント

ACM利用にあたってのポイントはこちらです。

ドメイン認証SSL証明書であること

SSL証明証には3つ種類があります。

  • ドメイン認証証明書(Domain Validation)
  • 組織認証証明書(Organization Validation)
  • EV証明書(Extended Validation)

ACMはドメイン認証(Domain Validation)SSL 証明書です。

組織認証、EV認証ですと、組織が本当に存在するのか等々の、第三者からの審査が入ります。

ドメイン認証のACMでは、後述しますがドメインの管理者に確認のメールが届きますので、メールに記載されているURLをクリックするだけで、証明書の取得が可能となります。

GlobalSign – SSLサーバ証明書の種類

ELB,CloudFrontでのみ利用可能です

ACMの証明書はELB,CloudFrontでのみ利用可能です。

作成した証明書のファイルを出力できませんので、EC2やオンプレミスサーバ内に設定することができません。

なおELBではVirginiaリージョンのみ(2016年4月6日現在)  北京・GovCloudを除く全リージョン(2016年11月10日現在)、CloudFrontでは地域制限なく利用可能です。

証明書は自動更新されます

ACMの証明書は自動更新されます。

証明書の更新を煩わしく思っていた方も多いのではないでしょうか。おめでとうございます!ACMを利用することであなたは面倒な作業から開放されるのです!

2017年1月12日追記

ACMの証明書の自動更新には条件があります。詳細は AWS Solution Architectブログをご覧ください。

AWS Certificate Manager (ACM) 証明書の自動更新時の注意点

無料

ACMの証明書の発行、および利用は無料です。使用しているELB,CloudFrontのリソース料金のみ発生します。

利用手順

さっそく利用してみましょう。まず証明書の作成を行います。

証明書の作成

マネジメントコンソールから「Certificate Manager」を選択します。

cawoiewf01

次にSSLを利用する、ドメイン名を記入します。今回はZone apexと、ワイルドカードを記入してみます。

(ACMはワイルドカードに対応しています)

記入が済んだら「Review and Request」をクリックしてください。

wavopeoav02

するとAWSより、ドメインの管理アドレスに確認のメールが送信されます。

届いたメールに確認用URLがありますので、そちらをクリックし、確認用のサイトに移ります。

内容に問題がなければ、「I Approve」をクリックしてください。

acm04先ほどのマネジメントコンソールの画面に戻りましょう。ドメインが認証され、証明書が作成されました!

acm05

ELBで利用する場合

受信設定を HTTPS 443 → HTTP 80 にしたELBを作成します。

証明書の種類を選択する欄で「ACM」を、証明書を先ほど作成したものを選びます。acm06

サイトにアクセスしてみましょう。URLの横にグリーンの鍵マークが見えますね。

acm07

証明書の詳細を見てみましょう。

acm08 acm09認証局がAmazonであることや、鍵の長さ等が分かるかと思います。

CloudFrontで利用する場合

CloudFrontで利用する場合も簡単です。ディストリビューション作成時に、SSL証明書にACMで作成した証明書を選択してください。

acm10

まとめ

いかがでしたでしょうか。

ACMを利用することで、簡単かつ無料で、SSL暗号化通信ができることが分かったと思います。

いやーほんとAWSって便利ですね。

ではでは

AWS運用自動化サービス「Cloud Automator」