AWSではなんとAWS Certificate Manager (ACM) というサービスでSSL/TLS 証明書を無料で取得することができます、しかもすごく簡単に。
そしてACMはElastic Load Balancingと統合されている為、
取得した証明書をApplication Load Balancer、や Network Load Balancer に関連付けることができます。
また、Amazon CloudFrontにも関連付けることができます。
すごく簡単なので、説明してみたいと思います。
Certificate ManagerでSSL証明書を取得
AWSのコンソールから、「セキュリティ、ID、およびコンプライアンス」→「Certificate Manager」
Certificate Managerの画面から「証明書をリクエスト」をクリックします。
「パブリック証明書のリクエスト」にチェックを入れて、「次へ」をクリックします。
取得したいドメイン名を入力します。
ドメインの持ち主でなければ証明書は発行することはできないので、入力したドメインの持ち主であるかの検証が必要になります。
検証方法は「DNS検証」と「Eメール検証」から選ぶことができます。
DNS検証
DNS検証は、証明書の発行依頼すると表示される値をドメインの管理DNSにCNAMEで登録することで検証を行う方法です。
DNSに登録しておくと更新時に自動で検証を行ってくれるため、自動更新されるのでDNSを更新できる環境であればおすすめの方法です。
「DNS検証」を選択し、「リクエスト」をクリックします。
リクエストした証明書が一覧に表示されます。
この状態では検証が終わっていないので、ステータスが保留中の検証になっています。
証明書IDをクリックして詳細を表示します。
すると詳細画面に「CNAME名」と「CNAME値」が表示されていますので、この2つをDNSにCNAMEレコード追加することで検証を行います。
Route53でDNSを管理している場合は自動でDNSに登録することもできます。
↓Route 53で新規にドメイン発行する方法はこちら↓
「Route 53でのレコードの作成」をクリックすると自動でDNSに登録されます。
手動でDNSへ登録したい場合は、Route 53のページから、「ホストゾーン」
(Route 53でドメインを取得した場合は自動でホストゾーンが作成されています)
一覧に表示されたドメインをクリックし「レコードを作成」をクリックしまう
レコード名と値に先ほどCertificate Managerで表示されたCNAMEレコードのテキストを登録します、
レコードタイプでCNAMEを選択し「レコードを作成」をクリックするとDNSへ登録されます。
しばらく待つと検証が完了し、Certificate Managerで発行したSSL証明書が発行済みになります。
Eメール検証
Eメール検証は証明書のリクエストを行うと、ドメインの管理メールアドレスにAWSからリンク付きのメールが届き、そのメールに記載されているリンクをクリックすることで検証を行う方法です。
Eメールでの検証になるので、自動更新は行えず、1年に一回更新用の検証メールが届きます。
DNSの更新が難しい場合や、古いタイプのDNSだとDNS検証が出来ない場合があるので、そういった場合はEメールの検証がおすすめです。
「Eメール検証」を選択し、「リクエスト」をクリックします。
リクエストした証明書が一覧に表示されます。
この状態では検証が終わっていないので、ステータスが保留中の検証になっています。
ドメインの管理アドレスにリンク付きのメールがAWSから届いているはずなので、そこに記載されているリンクをクリックして検証を完了させます。
証明書取得完了
DNSの検証でもEメールの検証でも今までのSSL証明書の取得する手間を考えると相当簡単になっていますので、AWS環境で証明書を取得したい場合はAWS Certificate Manager (ACM)をぜひ使って見てください。
コメント