概要
AWS Certificate Manager で サブドメインのワイルドカード証明書も取得する
はじめに
SSL/TLS 証明書は、今まで、Ra◯idSSL 等の「証明書発行業者」から取得していました。
その際、Webサイトが複数必要な場合は、「ワイルドカード証明書」を申請していましたが、以下のような問題がありました。
- 結構お高い。年間 39,000円 程度。
- サブドメインは有効でない。(一階層のみ有効)
例えば、 *.k2s.io の証明書を取得した場合、- mail.k2s.io は有効
- line.k2s.io は有効
- A.line.k2s.io は、使えない!!
- B.line.k2s.io は、使えない!!
AWS CertificateManager サービス によって、 ELB, CloudFront での用途に限り、SSL/TLS 証明書 を無料で取得することが可能になっています。
(注 : CloudFront での使用は 東京リージョンは 2016/09/22 時点ではまだ未対応)
サブドメイン毎のワイルドカード証明書も、もちろん無料で、取得できますよね? はい、できます!
※本記事のドメインは架空です
手順
k2s.io のドメイン管理者である場合を例にします。
*.k2s.io の SSL/TLS 証明書は取得済みで、追加で、*.line.k2s.io を取得する場合を考えます。
手順は特に難しくありませんが、気をつけることは
-
AWS マネジメントコンソールからの申請時に、サブドメイン
line.k2s.ioの webmaster, postmaster 宛に 確認メールが送られてくるので、受信できるようにしておく必要があります。- DNS (例: Route53) で、サブドメイン に対して MX レコード が設定されていること。
-
MTA (例: Postfix) で、サブドメイン に対して 受信できるように設定されていること。
/etc/postfix/main.cfmyhostname = mail.k2s.io myhostname = line.k2s.io ← ここ
- 確認メールに対して承認すると、無事に、サブドメインのワイルドカード証明書が使えるようになります。
まとめ
- AWS CertificateManager では、サブドメインのワイルドカード証明書も取得できました。
- これで今まで、無理矢理に一階層のドメインで頑張ってきた部分を、キレイに階層化できますね!!