で SSL/TLS 証明書を使用するための要件 CloudFront - Amazon CloudFront

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

で SSL/TLS 証明書を使用するための要件 CloudFront

このトピックでは、SSL/TLS 証明書の要件について説明します。これらの要件は、特に注記がなければ、以下の両方の証明書に適用されます。

  • ビューワーと の間で HTTPS を使用するための証明書 CloudFront

  • CloudFront とオリジンの間で HTTPS を使用するための証明書

証明書の発行者

AWS Certificate Manager (ACM) で発行された証明書を使用することをお勧めします。ACM からの証明書の取得の詳細については、AWS Certificate Manager ユーザーガイドを参照してください。で ACM 証明書を使用するには CloudFront、米国東部 (バージニア北部) リージョン () で証明書をリクエスト (またはインポート) していることを確認してください。us-east-1

CloudFront は Mozilla と同じ認証機関 (CAs) をサポートしているため、ACM を使用しない場合は、Mozilla に付属する CA 証明書リストの CA によって発行された証明書を使用してください。証明書の取得とインストール方法については、使用している HTTP サーバーソフトウェアのドキュメントおよび CA のドキュメントを参照してください。

AWS Certificate Manager の場合は AWS リージョン

AWS Certificate Manager (ACM) の証明書を使用してビューワーと の間で HTTPS を必須にするにはCloudFront、米国東部 (バージニア北部) リージョン () で証明書をリクエスト (またはインポート) していることを確認してください。us-east-1

CloudFront とオリジンの間で HTTPS を必須にする場合、Elastic Load Balancing のロードバランサーをオリジンとして使用している場合は、任意の で証明書をリクエストまたはインポートできますAWS リージョン。

証明書の形式

公開証明書は X.509 PEM 形式で作成されている必要があります。これは、AWS Certificate Manager を使用する場合のデフォルトの形式です。

中間証明書

サードパーティー認定権限 (CA) を使用している場合、.pem ファイルには、ドメインの証明書の署名者である CA の証明書から始めて、証明書チェーン内のすべての中間証明書を含めます。通常は、適切なチェーン順で中間証明書とルート証明書を並べたファイルが CA のウェブサイトに用意されています。

重要

ルート証明書、信頼パス内に存在しない中間証明書、CA の公開キー証明書は含めないでください。

例を示します。

-----BEGIN CERTIFICATE----- Intermediate certificate 2 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Intermediate certificate 1 -----END CERTIFICATE-----

キーのタイプ

CloudFront は、RSA および ECDSA パブリック/プライベートキーペアをサポートします。

CloudFront は、RSA 証明書と ECDSA 証明書を使用して、ビューワーとオリジンの両方への HTTPS 接続をサポートします。AWS Certificate Manager (ACM) を使用すると、RSA または ECDSA 証明書をリクエストおよびインポートし、ディス CloudFront トリビューションに関連付けることができます。

HTTPS 接続でネゴシエート CloudFront できる、 でサポートされている RSA および ECDSA 暗号のリストについては、ビューワーと の間でサポートされているプロトコルと暗号 CloudFront「」および「」を参照してくださいとオリジン間でサポートされているプロトコル CloudFront と暗号

プライベートキー

サードパーティー認証機関 (CA) の証明書を使用している場合、以下の点に注意してください。

  • プライベートキーが証明書のパブリックキーと一致している。

  • プライベートキーは、PEM 形式でなければなりません。

  • プライベートキーはパスワードで暗号化できません。

AWS Certificate Manager (ACM) が証明書を提供した場合、ACM はプライベートキーをリリースしません。プライベートキーは、ACM に統合された AWS のサービスによる使用のために、ACM に保存されます。

アクセス許可

SSL/TLS 証明書を使用およびインポートするアクセス許可が必要です。AWS Certificate Manager (ACM) を使用している場合は、AWS Identity and Access Management アクセス許可を使用して証明書へのアクセスを制限することをお勧めします。詳細については、『AWS Certificate Manager ユーザーガイド』の「Identity and Access Management」を参照してください。

証明書キーのサイズ

が CloudFront サポートする証明書キーのサイズは、キーと証明書のタイプによって異なります。

RSA 証明書の場合:

CloudFront は、1024 ビット、2048 ビット、3072 ビット、4096 ビットの RSA キーをサポートします。で使用する RSA 証明書の最大キー長 CloudFront は 4096 ビットです。

ACM は、最大 2048 ビットのキーで RSA 証明書を発行することに注意してください。3072 ビットまたは 4096 ビットの RSA 証明書を使用するには、証明書を外部から取得して ACM にインポートする必要があります。その後、 で使用できるようになります CloudFront。

RSA キーのサイズを確認する方法については、「SSL/TLS RSA 証明書内のパブリック (公開) キーのサイズの確認」を参照してください。

ECDSA 証明書の場合:

CloudFront は 256 ビットキーをサポートします。ACM で ECDSA 証明書を使用してビューワーと の間で HTTPS を必須にするには CloudFront、素数 256v1 楕円曲線を使用します。

サポートされている証明書のタイプ

CloudFront は、信頼できる認証機関によって発行されたすべてのタイプの証明書をサポートします。

証明書の有効期限切れと更新

サードパーティー認定権限 (CA) から取得した証明書を使用する場合、証明書の有効期限切れをモニタリングし、AWS Certificate Manager (ACM) にインポートする、または AWS Identity and Access Management 証明書ストアにアップロードする証明書を有効期限前に更新する必要があります。

ACM が提供する証明書を使用している場合、証明書の更新は ACM によって管理されます。詳細については、AWS Certificate Manager ユーザーガイド の「管理された更新」を参照してください。

CloudFront ディストリビューションと証明書のドメイン名

カスタムオリジンを使用する場合、オリジンの SSL/TLS 証明書の共通名フィールドにドメイン名が含まれ、さらにサブジェクト代替名フィールドにもドメイン名がいくつか含まれることがあります。( は証明書ドメイン名でワイルドカード文字CloudFront をサポートします)。

証明書のドメイン名のうち 1 つは、オリジンドメイン名に指定したドメイン名と一致する必要があります。ドメイン名が一致しない場合、 は HTTP ステータスコードをビューワー502 (Bad Gateway)に CloudFront 返します。

重要

ディストリビューションに代替ドメイン名を追加すると、 は、その代替ドメイン名がアタッチした証明書の対象 CloudFront になっていることを確認します。証明書は、証明書のサブジェクト代替名 (SAN) フィールドの代替ドメイン名をカバーする必要があります。つまり、SAN フィールドは、代替ドメイン名と完全に一致するか、追加する代替ドメイン名の同じレベルにワイルドカードが含まれている必要があります。

詳細については、「代替ドメイン名を使用するための要件」を参照してください。

SSL/TLS プロトコルの最小バージョン

専用 IP アドレスを使用している場合は、セキュリティポリシー CloudFront を選択して、ビューワーと 間の接続に SSL/TLS プロトコルの最小バージョンを設定します。

詳細については、トピック「ディストリビューションを作成または更新する場合に指定する値」の「セキュリティポリシー」を参照してください。

サポートされる HTTP バージョン

複数の証明書を複数の CloudFront ディストリビューションに関連付ける場合、証明書に関連付けられているすべてのディストリビューションは、 に対して同じオプションを使用する必要がありますサポートされる HTTP バージョン。このオプションは、 CloudFront ディストリビューションを作成または更新するときに指定します。