[ACM] COMODO発行のサーバ証明書をACMにインポートして利用してみた
はじめに
AWSチームのすずきです。
AWSが提供するACM(AWS Certificate Manager)のアップデートにより、 AWS以外の認証局、ComodoやSymantecなどが発行した証明書をACMにインポートし、 ELB、CloudFrontのHTTPS通信に利用する事が可能となりました。
今回、COMODOで発行されたサーバ証明書を、ACMにインポートする機会がありましたので、 紹介させていただきます。
- Importing Certificates into AWS Certificate Manager
- Announcement: Announcing AWS Certificate Manager Support for Third-Party Certificates
事前準備
- SSLサーバ証明書の発行は完了済みとします。
- COMODO SSL > 申し込み更新ガイド 「Step5」まで完了したものとします。
- コモド社からメールで発送される証明書入りZIPファイルより、中間証明書(Certificate Chain)、サーバ証明書(Public Key Certificate)を抽出します。
-
CSR作成時に利用した秘密鍵(Private Key)ファイルを用意します。
ACMへの証明書インポート
インポートの開始
- AWSコンソールACMの画面より、「証明書のインポート」を実行します
証明書のインポート
証明書本文
- サーバ証明書(Public Key Certificate)は、CRT形でのインポートがACMでは可能です。
- IAM証明書同様、PEM形式に変換した証明書のインポートも可能です。
- 「-----BEGIN CERTIFICATE-----」から「-----END CERTIFICATE-----」迄をコピー&ペーストします。
cat STAR_xxxxxxxxx_xx.crt
証明書のプライベートキー
- 秘密鍵(Private Key)は、パスフレーズを撤去したPEM形式のファイルを登録します
- 以下で表示される「-----BEGIN RSA PRIVATE KEY-----」から「-----END RSA PRIVATE KEY-----」迄をコピー&ペーストします。
opelssl rsa -in myserver.key
証明書チェーン
- 今回の証明書では中間証明書として3ファイルが発行されました
- COMODORSADomainValidationSecureServerCA.crt
- COMODORSAAddTrustCA.crt
- AddTrustExternalCARoot.crt
- これらを結合したPEM形式とし、証明書チェーンとして登録します
- 以下で表示される「-----BEGIN CERTIFICATE-----」から「-----END CERTIFICATE-----」迄をコピー&ペーストします。
cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt
レビュー
- 証明書のドメイン、有効期間を確認して、インポートを実施します。
- 有効期限切れや無効な証明書ファイルは、インポートする事ができません。
確認
- ACMへのインポートに成功したサーバ証明書は、ACM管理画面で確認可能となります
- 証明書のドメイン名、別名、有効期限、ELBなどでの利用有無の確認や、不要になった証明書の撤去が、Web画面で可能となりました。
- ACMに登録した証明書は、任意のタグによる管理が可能です
ELB(ALB)への登録
- 証明書タイプとして「AWS証明書マネージャ(ACM)」を指定し、インポートした証明書を指定します。
- 複数のリージョンのELBでACMの証明書を利用する場合には、各リージョン毎にACM設定(インポート)が必要です。
CloudFront
- CloudFrontでACMでインポートした証明書を利用するには、バージニアリージョン(us-east-1)のACMにインポートを行います。
- Alternate Domain Names(CNAMEs)と、Route53のDNSレコードにAlias(CNAME)を設定してご利用ください
まとめ
今回のACMのアップデートにより、WebGUI上でSSLサーバ証明書の確認、削除や、 CloudFront用の証明書の管理も可能となり、利便性が向上しました。
フィーチャーフォンなど多様なブラウザ対応、厳密な審査により信頼性が高いとされるEV SSL証明書の利用や、 WAF(IPS,IDS)などでHTTPS通信の保護、解析を実施するため秘密鍵を必要とするなどの要件のため サードパーティのサーバ証明書をELB、CloudFrontで利用される場合には、ACMのインポート機能を是非お試しください。
尚、AWSが認証局となり提供され、メンテナンスフリーで利用できるACMの無料証明書とは異なり、サードパーティの証明書は 有効期限の管理や、秘密鍵の安全な管理などが引き続き必要となる点は注意してご利用ください。