AWS Certificate Manager (ACM) の注意点

この記事でわかる事

  • ACMとは?
  • SSL証明書の分類
  • ACMの注意点

aws_console_acm

ACMとは?

  • AWS Certificate Managerの略
  • AWSの証明書管理サービスであり、AWSを使うことによってSSL証明書の発行や発行したSSL証明書の自動更新を行うことができます。

SSL証明書の分類

SSL証明書は大きく3つに分類することができます。

  1. ドメイン認証(DV)・・・アドレスバーの表示(鍵マーク)
    DVはドメインの所有者と、SSL証明書の申請者が一致していることを証明するもので、ドメインの使用権を保持していることを示します。
    メールサーバーやFTPサーバーなどに利用する場合にも使用されます。
  2. 企業実在認証・組織認証(OV)・・・アドレスバーの表示(鍵マーク)
    OVは、上記のドメイン認証に加えて、企業が実在していることを証明するものです。
    個人情報を収集するページが設けているWebサイト(コーポレートサイト、SNSなど)などを利用する場合に使用されます。
  3. EV認証(EV)・・・アドレスバーの表示(鍵マーク+組織名)
    EVは、3種類のなかで最も信頼性の高い証明書です。
    世界的な認証ガイドラインに基づき、上記ドメイン認証・企業実在認証よりも、さらに厳格な審査を経て証明書が発行されます。
    オンラインショップ、ネット銀行など決済情報を扱うページなどで使用されます。

ACMの注意点

ー 注意点1

ACMで提供される証明書はドメイン認証のみとなっています。
そのため、それよりも認証の厳しい証明書の発行はできないので注意が必要です。

ー 注意点2

ACMでの証明書の有効期限は発行日から13か月となっています。
ACMではユーザーによるアクションを行わずにすむように、有効期限が切れる前に ACM証明書を自動的に更新します。

ACMによって証明書を自動的に更新するには、以下の条件が満たされている必要があります。

  • 証明書に記載されている全ての完全修飾ドメイン名 (FQDN) が DNS で名前解決できること
  • CloudFront や ELB (Classic Load Balancer や Application Load Balancer) など、証明書と関連づいている AWS リソースが、インターネット経由で SSL/TLS 接続できるようになっていること

ー 注意点3

ACM によって証明書を自動的に更新する場合、以下の以下のケースでは、自動更新がされないので要注意です。

  • ACM以外で取得した証明書をインポートしている
  • ACM証明書がELBやCloudFrontに証明書が適用されていない 

ー 注意点4

CloudFrontはリージョンサービスではなくグローバルサービスであるため、CloudFrontでACMを利用する場合は、米国東部 (バージニア北部) リージョンで作成する必要があります。

ー 注意点5

ACM 証明書のプライベートキーをダウンロードすることはできません。
そのため、EC2 で稼働している Apache や Nginx などの Webサーバに ACM で発行した Amazon の SSLサーバ証明書を、直接インストールすることはできないので注意が必要です。

まとめ

Certificate ManagerはSSL証明書の発行および更新の管理を行ってくれるサービスです。
Certificate Managerでは発行できるSSL証明書が適用できるのは現在ELBとCloudFrontであること、現在はバージニア北部リージョンのみで使用可能であることに注意しておきましょう。
その他の対応においてもリージョンの設定は重要となってきますので、今回ご紹介した注意点を理解してサービスの設定を行なっていく必要があります。

参考にさせて頂いたサイト

 

投稿者プロフィール

わんちゃん
わんちゃん
<インフラエンジニア>
■ AWSエンジニア目指して猛勉強中!
■ 実務や試験学習(.ComMaster、基本情報技術者試験)を通してスキルUPを図っています!
■ AWSサービスのみにフォーカスせず、AWSを利用するために必要となるネットワークやサーバーの知識などについても積極的にブログでの情報発信を行っています。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です