CloudFront で SSL/TLS 証明書を使用するための要件
このトピックでは、SSL/TLS 証明書の要件について説明します。これらの要件は、特に注記がなければ、以下の両方の証明書に適用されます。
-
ビューワーと CloudFront との間で HTTPS を使用するための証明書
-
CloudFront とオリジンとの間で HTTPS を使用するための証明書
トピック
証明書の発行者
AWS Certificate Manager (ACM)us-east-1) の証明書をリクエスト (またはインポート) していることを確認します。
CloudFront は Mozilla と同じ認定権限 (CA) をサポートしているため、ACM を使用しない場合は、「Mozilla に付属する CA 証明書一覧
AWS Certificate Manager の場合は AWS リージョン
AWS Certificate Manager (ACM) の証明書を使用して、ビューワーと CloudFront との間で HTTPS を必須にする場合は、米国東部 (バージニア北部) リージョン (us-east-1) の証明書をリクエスト (またはインポート) していることを確認します。
CloudFront とオリジンとの間で HTTPS を必須にする場合、オリジンとして Elastic Load Balancing のロードバランサーを使用していれば、任意の AWS リージョン で証明書をリクエストまたはインポートできます。
証明書の形式
公開証明書は X.509 PEM 形式で作成されている必要があります。これは、AWS Certificate Manager を使用する場合のデフォルトの形式です。
中間証明書
サードパーティー認定権限 (CA) を使用している場合、.pem ファイルには、ドメインの証明書の署名者である CA の証明書から始めて、証明書チェーン内のすべての中間証明書を含めます。通常は、適切なチェーン順で中間証明書とルート証明書を並べたファイルが CA のウェブサイトに用意されています。
重要
ルート証明書、信頼パス内に存在しない中間証明書、CA の公開キー証明書は含めないでください。
例を示します。
-----BEGIN CERTIFICATE-----Intermediate certificate 2-----END CERTIFICATE----- -----BEGIN CERTIFICATE-----Intermediate certificate 1-----END CERTIFICATE-----
キーのタイプ
CloudFront は RSA および ECDSA パブリック (公開) とプライベートのキーペアをサポートします。
CloudFront は、RSA 証明書と ECDSA 証明書を使用して、ビューワーとオリジンの両方への HTTPS 接続をサポートします。AWS Certificate Manager (ACM)
HTTPS 接続でネゴシエートできる CloudFront でサポートされている RSA および ECDSA 暗号のリストについては、「ビューワーと CloudFront との間でサポートされているプロトコルと暗号」および「CloudFront とオリジンとの間でサポートされているプロトコルと暗号」を参照してください。
プライベートキー
サードパーティー認証機関 (CA) の証明書を使用している場合、以下の点に注意してください。
-
プライベートキーが証明書のパブリックキーと一致している。
-
プライベートキーは、PEM 形式でなければなりません。
-
プライベートキーはパスワードで暗号化できません。
AWS Certificate Manager (ACM) が証明書を提供した場合、ACM はプライベートキーをリリースしません。プライベートキーは、ACM に統合された AWS のサービスによる使用のために、ACM に保存されます。
アクセス許可
SSL/TLS 証明書を使用およびインポートするアクセス許可が必要です。AWS Certificate Manager (ACM) を使用している場合は、AWS Identity and Access Management アクセス許可を使用して証明書へのアクセスを制限することをお勧めします。詳細については、『AWS Certificate Manager ユーザーガイド』の「Identity and Access Management」を参照してください。
証明書キーのサイズ
CloudFront がサポートする証明書キーのサイズは、キーと証明書の種類によって異なります。
- RSA 証明書の場合:
-
CloudFront は、1024 ビット、2048 ビット、3072 ビット、4096 ビットの RSA キーをサポートしています。CloudFront で使用できる RSA 証明書のキーの長さは最大 4096 ビットです。
ACM が発行する RSA 証明書のキーの最大長は 2048 ビットであることに注意してください。3072 ビットまたは 4096 ビットの RSA 証明書を使用するには、証明書を外部から取得して ACM にインポートする必要があります。これにより、CloudFront で使用できるようになります。
RSA キーのサイズを確認する方法については、「SSL/TLS RSA 証明書内のパブリック (公開) キーのサイズの確認」を参照してください。
- ECDSA 証明書の場合:
-
CloudFront は、256 ビットキーをサポートしています。ACM の ECDSA 証明書を使用して、ビューワーと CloudFront との間で HTTPS を必須にするには、prime256v1 楕円曲線を使用します。
サポートされている証明書のタイプ
CloudFront は、信頼された認証機関によって発行されたすべてのタイプの証明書をサポートしています。
証明書の有効期限切れと更新
サードパーティー認定権限 (CA) から取得した証明書を使用する場合、証明書の有効期限切れをモニタリングし、AWS Certificate Manager (ACM) にインポートする、または AWS Identity and Access Management 証明書ストアにアップロードする証明書を有効期限前に更新する必要があります。
ACM が提供する証明書を使用している場合、証明書の更新は ACM によって管理されます。詳細については、AWS Certificate Manager ユーザーガイド の「管理された更新」を参照してください。
CloudFront ディストリビューションと証明書のドメイン名
カスタムオリジンを使用する場合、オリジンの SSL/TLS 証明書の共通名フィールドにドメイン名が含まれ、さらにサブジェクト代替名フィールドにもドメイン名がいくつか含まれることがあります。(CloudFront では証明書ドメイン名にワイルドカード文字を使用できます)。
証明書のドメイン名のうち 1 つは、オリジンドメイン名に指定したドメイン名と一致する必要があります。ドメイン名が一致しない場合、CloudFront は HTTP ステータスコード 502 (Bad Gateway) をビューワーに返します。
重要
ディストリビューションに代替ドメイン名を追加する場合、CloudFront はこの代替ドメイン名が添付した証明書の対象であることを確認します。証明書は、証明書のサブジェクト代替名 (SAN) フィールドの代替ドメイン名をカバーする必要があります。つまり、SAN フィールドは、代替ドメイン名と完全に一致するか、追加する代替ドメイン名の同じレベルにワイルドカードが含まれている必要があります。
詳細については、「代替ドメイン名を使用するための要件」を参照してください。
SSL/TLS プロトコルの最小バージョン
専用 IP アドレスを使用している場合、セキュリティポリシーを選ぶことでビューワーと CloudFront との間の接続に最小 SSL/TLS プロトコルバージョンを設定できます。
詳細については、トピック「ディストリビューションを作成または更新する場合に指定する値」の「セキュリティポリシー」を参照してください。
サポートされる HTTP バージョン
1 つの証明書を複数の CloudFront ディストリビューションに関連付ける場合、証明書に関連付けられたすべてのディストリビューションで、サポートされる HTTP バージョン に対して同じオプションを使用する必要があります。このオプションは、CloudFront ディストリビューションを作成または更新するときに指定します。
