はじめに
最近AWSで環境構築を行った際に、https接続させたくて、AWSでSSL証明書を発行できるACMを利用したので、その時の備忘録。
#AWS ACMとは?
AWS Certificate Managerの略だそうです。
AWS環境で使用できる無料のSSL/TLS証明書発行サービスです。
##SSLとは?
SSL(Secure Sockets Layer)とはデータを暗号化して送受信する為のプロトコルです。
SSLを使用する事で、個人情報等、他人に盗み見されたら困る様なデータを安全に通信出来るわけです。
このSSLプロトコルによって提供されるセキュアな接続の上でHTTP通信を行う事がHTTPSです。
##じゃあSSL証明書って?
SSL証明書とは、情報を暗号化するSSLの機能に加え、ウェブサイトを運営する会社の身元を確認できる機能を備えた電子証明書です。
暗号化に使う以外にも、通信先の身元も保証してくれるわけです。
例えば、銀行や通販サイトなどを装った悪質なサイトなどに誤って個人情報を送信してしまわないように、そのwebサイトの証明書を見る事でそのサイトの信頼性を確認できます。
##無料証明書とは?
証明書には種類があり、高価なもの程厳重に保証されます。
すなわち、本来は有料なのです。
昨今はDV証明書が無料で発行できるようになり、今回のACMもそれにあたります。
| 確認方法と証明レベル | |
|---|---|
| EV証明書 | Webサイト運営者の身元をより厳格に書類と電話で確認して証明 |
| OV証明書 | Webサイト運営者の身元をメールと電話で確認して証明 |
| DV証明書 | そのドメインの使用権があることを証明 |
#実際に発行してみる
ではSSLの概要は説明出来たと思うので、実際に発行手続きを行います。
まずはサービス一覧からCertificate Managerを選択します。
##次に「今すぐ始める」から証明書を作成していきます。
##ステップ1でドメイン名を指定します。
##ステップ2で確認が入ります。
##ステップ3で続行を押すと確認用のメールが飛びます。
##確認用のメールについて
ここで注意が必要なのですが、
証明書を発行するにあたって、作成したドメインを使用したメールに対して確認メールが送られます。
ですので、このドメインでメールを受信出来るようにしておく必要があります。
これは 対象のドメインでメールを受信する = ドメインが存在する という確認になります。
上記の「無料証明書とは?」で説明したDV証明書のそのドメインの使用権があることの証明をメールで確認しているわけですね。
##確認用メールで承認
メールが届いたらメールに書いてあるURLに飛ぶと下記のような確認ページに案内されます。
ここでApproveを選択すると証明書が発行された事になります。
このメールの確認を行うまでは未検証だったステータスが、発行済に変わります。
↓認証前
↓認証後 この状態になれば使用可能です。
##ELBで選択
証明書の発行ができたら、ELBのリスナータグのSSL証明書の欄からSSL証明書が選択出来るようになります。
これで無事にHTTPS通信ができるようになるわけです。
#DNSについて
さきほど証明書を発行したドメインを仮に「kinpira.co.jp」とします。
kinpira.co.jp宛にメールが来た場合に管理するメールサーバーに行くようにしなくてはなりませんでした。
その流れでDNS周りについても簡単に書いておこうと思います。
##DNSとは
IPアドレスを人が管理しやすい文字と紐づけるシステム。
Domain Name Systemの略です。
この管理しやすい文字にした物をドメインと言います。
##名前解決
ドメインからIPアドレスを引っ張ってくる事を名前解決と言います。
この名前解決にはドメイン名を管理するドメインサーバーを通って解決します。
##ドメインの構成
ドメインには下記の図のように階層があり、その階層毎にドメインサーバーが存在します。
トップレベルの階層のjpのドメインサーバーは第2階層のドメインサーバーへの送信先を知っているので、そっちに案内します、今度は第2階層のcoのドメインサーバーは第3階層のexampleドメインサーバーまで案内します。
こんな感じで上位階層からドメインサーバーをたどって行き最後にIPアドレスと紐づいているドメインサーバーまで案内されたら、名前解決を行います。
##登録したドメインをメールサーバーへ紐づける
上記で説明した通りドメイン名には必ずゴールとして転送先のIPアドレスが紐づきますが、今回登録したkinpira.co.jp宛にメールが来た際はどこに案内するのかをドメインサーバーに登録する必要があるわけです。
今回はAWSの Route 53 を使用してMXレコードタイプでkinpira.co.jpと転送先のメールサーバーを紐づけます。
後はメールサーバー側で設定をしてあげればメールが届くようになります。
#最後に
今回証介したACMはDV証明書なのであくまで暗号化通信用であって、サイトの証明には使えませんね。
ただ、証明書の発行ってもっと面倒なイメージがあったのですが、AWS内で限定ですが手続きしてから発行までも数分完了するACMの手軽さにはビックリしました。