EC2のWEBサイトをロードバランサーの配下に再配置し、AWSのSSL証明書を使って暗号化する

AWSのEC2をELB(ALB)配下にしてSSL化

今までEC2でWEBサーバを立てて公開する際はlet's encryptをインストールをしていましたが、AWS Certificate Managerを使用してSSL化をしたいという事でロードバランサ―を使用した構成に移行しつつSSL化をしてみました。

前提

・EC2のインスタンスがありWEBサーバが立っている
・ドメインは作成済みでRoute53で管理されている
・VPCはPUBLIC

手順

１．AWS Certificate ManagerにてSSL証明書の作成
２．AWS EC2にてターゲットグループを生成
３．AWS EC2にてロードバランサーを生成
４．AWS Route53にて対象ドメインにエイリアスにてロードバランサーを設定
５．AWS EC2にてhttp(80)アクセス時のリスナーを設定

AWS Certificate ManagerにてSSL証明書の作成

１．AWSメニューよりAWS Certificate Manager(ACM)を選択
２．"証明書をリクエスト"にてパブリック証明書をリクエストを選択し次へ
３．SSL化対象となるドメイン名を入力し、検証方法を指定。今回はDNS検証を選択。
　　キーアルゴリズムはデフォルト設定のまま。タグは必要に応じて設定しリクエスト

４．証明書一覧に戻りリクエストした証明書をクリック（保留中になっている）
５．ドメインのRoute53でレコードを作成をクリック

６．確認画面にてレコードを作成をクリック。
　　この操作にてRoute53にCNAMEレコードが生成され、DNS検証が行われる。
　　検証時間は約5分ほど。検証が完了するとステータスが"発行済み"となる

AWS EC2にてターゲットグループを生成

ロードバランサ―の生成時の際、EC2を指定する事になるがダイレクトに指定するのではなくtargetGroupを選択する形式となる。その為事前に生成しておくと良い。

１．AWSメニューよりEC2を選択
２．左バーメニューからターゲットグループをクリック
３．ターゲットグループの生成の画面にて入力を進めていく
【Basic configuration】
　（１）Choose a target type　ターゲットタイプはInstancesを指定
　（２）Target group name　名前を入力
　（３）Protocol Port　LBとEC2間の通信は暗号化しない為http(80)を指定
　（４）VPC　回対象のEC2が乗っかるVPCを選択
　（５）Protocol version　HTTP1を選択
【Health checks】
　（６）Health check protocol　HTTPを指定
　（７）Health check path　/を指定（デフォルト）
４．NEXTをクリックして次画面に遷移するとinstanceの一覧が表示されるので対象のinstanceをチェックする。
５．チェックしたら下記図赤枠のInclude as pending belowをクリックすると下のReview targetsの一覧に追加される。

６．一覧に追加された状態でCreate target groupをクリックする

AWS EC2にてロードバランサーの生成

１．AWSメニューよりEC2を選択
２．左バーメニューからロードバランサーをクリック
３．一覧が表示されたらCreate load balancerをクリック
４．Select load balancer typeになるのでAplication load balancerのCleateをクリック
５．次の画面にて入力を進めていく
【Basic configuration】
　（１）Load balancer name 名前を入力
　（２）Scheme　Internet-facingを選択（今回は公開されているEC2をLB配下にする為）
　（３）IP address type　IPv4を選択
【Network mapping】
　（４）VPC　今回対象のEC2が乗っかるVPCを選択
　（５）Mappings　今回対象となるEC2が乗っかるサブネットを選択
　　※２個以選択が必要の為、全部選んでも問題ない
【Security groups】
　（６）Security groups　EC2と同じセキュリティグループを指定
【Listeners and routing】
　ここでルーティングの設定を行う。今回はSSL化が目的なのでhttpsの通信が発生した場合のリスナーを設定する。
　（７）Protocol/port　https/443を指定
　（８）Default action　【２．AWS EC2にてターゲットグループを生成】で作成したtargetgroupを指定する
【Secure listener settings】
　（９）Security policy　デフォルトのまま
　（１０）Default SSL/TLS certificate　FromACMを選び、【１．AWS Certificate ManagerにてSSL証明書の作成】で作成したSSL証明書を指定する

最後に右下のcreate load balancerをクリックするとロードバランサーが生成される（一覧に出てくる）

AWS Route53にて対象ドメインにエイリアスにてロードバランサーを設定

１．AWSメニューよりRoute53を選択
２．左バーメニューからホストゾーンをクリック
３．対象のドメインをクリック
４．今回対象EC2のIPが設定されているAレコードを選択し、レコードを編集をクリックする
５．下記図のようにエイリアスをONにするとルーティング情報を設定出来るようになる。
　　上から
　　・Application Load Balancer
　　・対象のリージョン
　　・【３．AWS EC2にてロードバランサーを生成】で生成したロードバランサ―
　　を指定して保存をクリックする

ここまでの設定でEC2をロードバランサ―配下にする作業は完了です。
オマケとして最後にhttp(80)で通信が発生した場合の制御を追加します。
今のままだとhttpアクセス時はNotfondになってしまう為、httpsにリダイレクトさせる設定をLBに追加します。

AWS EC2にてhttp(80)アクセス時のリスナーを設定

１．AWSメニューよりEC2を選択
２．左バーメニューからロードバランサーをクリック
３．一覧が表示されたら対象のロードバランサーをクリック
４．Listeners（リスナーの一覧）よりAdd listenerをクリック
５．Add ActionにてRedirectを選択するとRedirect用の設定項目が表示される
６．下図のように上段のProtocol/Portにhttp/80、下段のProtocol/Portにhttps/443を指定し、Addすれば完了

これでロードバランサ―がhttp(80)でアクセスされたらhttsp(443)のリスナーにリダイレクトしてくれる。

以上です。