Amazonが、Certificate Managerを発表しました。
公式 AWS Certificate Manager
何ができるの?
AWSで使用するためのドメイン認証(DV)するSSL証明書を無料で作成できます。
ワイルドカードも、複数ホスト指定もいけます。さらに、自動で更新されます!!
メインサーバはEV証明書とか欲しいですが、ただ暗号化するだけならこれで十分そうですね。
テストサーバや、デモ用サーバも無料で暗号化できるので、SSLにしないのはエンジニアの怠慢になりますね。
既存の証明書をインポート
すでに証明書を取得している場合には、インポートすることも可能です。
http://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html
現状対応しているもの
- CloudFront
- S3でStatic Web、CloudfrontでSSL対応という構成が簡単にできます。
- ELB
- 2016/5/16から、東京を含む下記リージョンで使用できるようになりました。リージョンごとに証明書を生成する必要があります。
- US West (N. California)
- US West (Oregon)
- EU (Ireland)
- EU (Frankfurt)
- Asia Pacific (Tokyo)
- Asia Pacific (Seoul)
- Asia Pacific (Singapore)
- Asia Pacific (Sydney)
- South America (Sao Paulo)
- 2016/5/16から、東京を含む下記リージョンで使用できるようになりました。リージョンごとに証明書を生成する必要があります。
- Elastic Beanstalk
- ELBが対応した時点で使用できたのですが、5/23から公式にサポートされました。
何ができないの?
証明書をダウンロードして、他のサーバで使うことはできません。
EV,OV証明書は生成できません。
http://docs.aws.amazon.com/acm/latest/userguide/acm-certificate.html
使い方
AWS Consoleから、Certificate Managerを開いて、ドメインを登録します。あとは、管理者に届いたメールを処理するだけです。
ちなみに、こんなメールが届きます。
管理者っぽいアドレスに勝手に送られるので、複数届く場合があります。
Subject : Certificate approval for appbatake.com
Greetings from Amazon Web Services,
We received a request to issue an SSL/TLS certificate for appbatake.com.
Verify that the domain, AWS account ID, and certificate identifier below correspond to a request from you or someone in your organization.
Domain: appbatake.com
AWS account number: 0000-0000-0000
Certificate identifier: 00000000-0000-0000-0000-000000000000To approve this request, go to Amazon Certificate Approvals(https://certificates.amazon.com/approvals?code=00000000-0000-0000-0000-000000000000&context=00000000-0000-0000-0000-000000000000-000000000000000000) and follow the instructions on the page.
If you choose not to approve this request, you do not need to do anything.
This email is intended solely for authorized individuals for appbatake.com. To express any concerns about this email or if this email has reached you in error, forward it along with a brief explanation of your concern to validation-questions@amazon.com.
Sincerely,
Amazon Web Services
SESを使ったドメイン検証
ドメインにメールサーバがない場合は、Amazon SESを受信用にセットアップすることで簡単にドメイン検証できました。
証明書発行後にはSESのドメインを削除しても問題ないようですが、1年後の更新時に再度設定が必要です。
サンプル
S3 + Cloudfrontで構築してみました。
*.appbatake.com + appbatake.comで生成した証明書です。
https://temp.appbatake.com
更新
ACMから証明書更新の通知が来ました。初回同様メールを受信してapprove処理が必要となります。2/23日失効予定の証明書について2/9に通知が来たので、2週間前通知のようです。
管理しているAWSアカウントに「Action Required - Your certificate renewal」という再設定を求める通知が届くのですが、それよりも前にドメイン管理者に確認メールが飛びます。自分で管理していないドメインの場合には要注意ですね。