Amazon CloudFront で RSA-4096 の証明書に対応しました

こんにちは、森田です。

以下のアップデートで Amazon CloudFront で 4096 ビットの RSA 証明書についても設定ができるようになりました。

アップデート以前までは、CloudFrontでのサポートは、RSA 証明書のパブリックキーについては、最大長は 3072 ビットまででした。

今回のアップデートで、4096 ビットの RSA 証明書を採用することで、クライアントとCloudFront間のセキュリティが強化されることが期待できます。

本記事では、実際に適用させるまでの手順と動作確認まで行ってみます。

前提条件

AWS Certificate Manager (ACM)にすでに4096 ビットの RSA 証明書についてはインポート済みとします。

また、ACM が発行する RSA 証明書のキーの最大長は 2048 ビットなので、インポートを行う必要があります。

手順をここでは紹介しませんが、本記事の証明書はLet's Encryptを利用して作成を行いました。

CloudFront（ディストリビューション）についてもすでに作成済みのものを利用します。

やってみた

現在の証明書の確認

ディストリビューションに登録しているドメインにアクセスを行い、証明書ビューアから公開鍵を確認します。

以下のように証明書については、2048ビットを利用しています。

証明書の確認

インポート済みの証明書は以下となります。

なお、使用可能なサービスとして、Elastic Load Balancingのみが表示されていますが、CloudFrontでも利用できます。

ディストリビューションの証明書変更

マネジメントコンソールからディストリビューションを選択して、編集を行います。

カスタムSSL証明書にインポート済みの証明書を選択し、変更を保存します。

変更後、ディストリビューションでデプロイが開始されますので、しばらく待ちます。

変更後の証明書の確認

では、再度ドメインにアクセスを行い、証明書ビューアから公開鍵を確認します。

今度は、以下のように4096ビットの証明書を利用していることが確認できました。

さいごに

証明書をインポートするだけで簡単に 4096ビットRSA 証明書の利用ができました。

4096ビットRSA 証明書を採用することで、セキュリティの強化が期待されますので、ぜひチェックしてみてください。

また、本ブログでは、紹介しませんでしたが、4096ビット長の証明書を発行するのに少し手こずりましたのでまたの機会にご紹介します。（当初は、ZeroSSLの証明書で進めていました。）