ELBでSSL Termination後の内部通信を暗号化する
SSL Terminationとは
ELBにSSL Terminationといって、ロードバランサー側でSSL認証を行ってくれる機能があります。WEBクライアントからSSL(443ポート)でリクエストが来ると、ELBがSSL証明書の確認をします。正しく処理されれば、ELB配下のEC2インスタンスに対して80ポートで通信を行います。
つい最近、このSSL Termination後のELBとEC2間の通信を改めて暗号化通信する方法ができましたのでご紹介します。
デモ用SSL証明書の作成
まずはデモ用にSSL証明書を作成します。詳しい説明は割愛しますが、証明書を作成する際に鍵の暗号化を外しています。本物を申請するときにはSSL会社の指示に従ってください。
$ openssl req -new -x509 -nodes -out server.crt -keyout server.key Generating a 1024 bit RSA private key ..................++++++++++++++ ........++++++++.........++++++ writing new private key to 'server.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:JP State or Province Name (full name) [Some-State]:Tokyo Locality Name (eg, city) []:Shinjyuku-Ku Organization Name (eg, company) [Internet Widgits Pty Ltd]:Classmethod Organizational Unit Name (eg, section) []:Director Common Name (eg, YOUR name) []:Satoshi Email Address []:satoshi@example.com
どういった形式のものか確認をします。このテキストは後で貼付けます。
$ cat server.crt -----BEGIN CERTIFICATE----- MIIDojCCAwugAwIBAgIJALpicGZAg2xsMA0GCSqGSIb3DQEBBQUAMIGTMQswCQYD VQQGEwJKUDEOMAwGA1UECBMFVG9reW8xFTATBgNVBAcTDFNoaW5qeXVrdS1LdTEU MBIGA1UEChMLQ2xhc3NtZXRob2QxETAPBgNVBAsTCERpcmVjdG9yMRAwDgYDVQQD EwdTYXRvc2hpMSIwIAYJKoZIhvcNAQkBFhNzYXRvc2hpQGV4YW1wbGUuY29tMB4X DTExMTAyNjE3MjYxNVoXDTExMTEyNTE3MjYxNVowgZMxCzAJBgNVBAYTAkpQMQ4w DAYDVQQIEwVUb2t5bzEVMlkzmshlfaihxlasiuehmxfaesfasxfMnOC501qDKv9R mcaemiuahecmfiuhscmfihszdfciuhsdlfczsmhflIUHjxKCvkBbRMg221qXBWzr Fcqgz2CFFKPCbGSD8eAagVZCjMoBQQzF4wcaqfjQYK3IhD4Z7EAhmRxELESZM30n clNdyfty29wN60ZjTupZJtJBRPzXIH4tqX8UcBuME0Wuqb8dduHoosboMdoIz4NX AgMBAAGjgfswgfgwHQYDVR0OBBYEFIakyhKRDi2UpjmPQoE1vBLw6sXLMIHIBgNV HSMEgcAwgb2AFIakyhKRDi2UpjmPQoE1vBLw6sXLoYGZpIGWMIGTMQswCQYDVQQG EwJKUDEOMAwGA1UECBMFVG9reW8xFTATBgNVBAcTDFNoaW5qeXVrdS1LdTEUMBIG A1UEChMLQ2xhc3NtZXRob2QxETAPBgNVBAsTCERpcmVjdG9yMRAwDgYDVQQDEwdT YXRvc2hpMSIwIAYJKoZIhvcNAQkBFhNzYXRvc2hpQGV4YW1wbGUuY29tggkAumJw ZkCDbGwwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOBgQBjYK7t7/e6IUgo /pNVEXRVb3R8pA5S0vy+cBGn49Rs4N1Y0EhZk2tUg0dzKGNBfeCYip2H0DcNCKIf 3KC7O9Z/pu7Koa9Ej1a+9G/9J8hlHcpQuKr6vhkB0KkkxaU4/LiSaBoXivWuydAn BCDQK2TkCgSDzAhtJIp8t9GDStuP+Q== -----END CERTIFICATE-----
こちらは同時に生成されたプライベートキーです。
$ cat server.key -----BEGIN RSA PRIVATE KEY----- MIICXQIBAAKBgQDrhWzuIts+DJzgudNagyr/UY8Sgr5AW0TINttalwVs6xXKoM9g hRSjwmxkg/HgGoFWQozKAUEMxeMHGqn40GCtyIQ+GexAIZkcRCxEmTN9J3JTXcn7 ctvcDetGY07qWSbSQUT81yB+Lal/FHAbjBNFrqm/HXbh6KLG6DHaCM+DVwIDAQAB AoGAdOg3CQHuWIUNHUMHLKDUGLMIUWHMXIUHET3shkwemlEa8Qjfx2Znt13j1gUU xAwEFWBVaFQ1CPUVW0pmAqbUxZrTNdykuz5gkgR7Q3RAjsAEuTQnqDLuKxScPc1S CdB4zn4NpO2m+keNc0L3sg3aTeGR+QHV8qBgldcktqqv46kCQQD3GNy/gYIXalEI QpqhFM56iCPGxcTauLTfzXY8jBp4ZtWsQeUKVz8tcOIUyQ7xzaCRjB+mW54hnf/V 8Y3Rl8/DAkEA9AHKeVjTFvDJotmyiPLRdCgl30REfK+XL/KPPXMkF6hpAAj6vGEO ONf+eUxeqRxnSOL1sSTQiP2BK12xBQ+43QJBAINc01Z4Kkn6enPSvNPv9MlNgP+W ek3xLi9g0n/j19q0iNnXMCWHHR!LWAKMHFLWUHWHMIFHLIUHFkUp8sQ/WfMCQA9O WXQZNUyYGB3mCAP9L1RY/F8v+hfUL+irD38sTNRLFSMSbSAJ+oloSycyujFjfbsd uYm+JHKjbEnbG7KUlOUCQQDZ5D6pBmWwrR6QxlRt+L4g2qcHZfpPCJY5Gbo5jxeK RcXyK+JhFYThcRtKkfhs32/MolDx2Dthj9YtSwfWWb63 -----END RSA PRIVATE KEY-----
Management ConsoleからELBを生成する
ELBの作成プロセスにおいて、SSLを設定するとSSL Terminationの設定を行う事ができます。また、SSLからSSLといった転送を選択した場合には、ELBとEC2間の通信暗号化について設定を行うことができます。
443ポートを設定したのでSSL Terminationの設定について聞かれます。opensslで作成した鍵のテキストを貼付けましょう。
次に、暗号アルゴリズムとハッシュアルゴリズムの組み合わせについて選択します。
そして、ELBとEC2間の暗号化について聞かれますので、必要に応じて証明書を記述します。
最後に、ロードバランサーの設定をします。
ELB配下に置くEC2インスタンスを登録します。
最後の最後の確認が出て、問題なければCreateボタンを押して作成完了です。
まとめ
ELBのSSL Terminationは待望の機能でしたが、さらに応用としてELBとEC2の通信を暗号化することもできるようになりました。普通のプログラマーにとってロードバランサーを実際に触りながら理解を深める機会はなかなか無いかと思います。ELBを活用してロードバランサーマエストロになっちゃいましょう!
