CloudFront で SSL/TLS 証明書を使用するための要件 - Amazon CloudFront

CloudFront で SSL/TLS 証明書を使用するための要件

このトピックでは、SSL/TLS 証明書の要件について説明します。これらの要件は、特に注記がなければ、以下の両方の証明書に適用されます。

  • ビューワーと CloudFront との間で HTTPS を使用するための証明書

  • CloudFront とオリジンとの間で HTTPS を使用するための証明書

証明書の発行元

証明書の適切な発行元は、ビューワーと CloudFront との間か CloudFront とオリジンとの間のどちらで HTTPS を必須にするかによって異なります。

  • ビューワーと CloudFront との間の HTTPS – Comodo、DigiCert、Symantec などの信頼された認証機関 (CA) か、AWS Certificate Manager (ACM) が提供する証明書を使用できます。

    重要

    CloudFront ディストリビューションで代替ドメイン名を使用する場合、代替ドメイン名を使用する権限があることを CloudFront で認証する必要があります。これを行うには、有効な証明書をディストリビューションにアタッチし、この証明書が Mozilla に付属する CA 証明書一覧の信頼される CA から出されたものであることを確認する必要があります。CloudFront では、自己署名証明書を使用して代替ドメイン名の使用権限を認証することはできません。

  • CloudFront とカスタムドメインとの間の HTTPS – オリジンが Elastic Load Balancing (ELB) ロードバランサー (Amazon EC2 など) でない場合、証明書は信頼された認証機関 (Comodo、DigiCert、Symantec など) によって発行される必要があります。オリジンが ELB ロードバランサーの場合、ACM が提供する証明書を使用することもできます。

    重要

    CloudFront が HTTPS を使用してオリジンと通信するとき、CloudFront は証明書が信頼された認証機関によって発行されたものであることを確認します。CloudFront は Mozilla と同じ認証機関をサポートします。現在のリストについては、Mozilla に付属する CA 証明書一覧を参照してください。CloudFront とオリジンとの間の HTTPS 通信に自己署名証明書を使用することはできません。

    SSL/TLS 証明書の取得とインストール方法については、使用している HTTP サーバーソフトウェアのドキュメントおよび認証機関のドキュメントを参照してください。ACM の詳細については、AWS Certificate Manager ユーザーガイドを参照してください。

証明書をリクエストする AWS リージョン (AWS Certificate Manager 用)

ビューワーと CloudFront との間で HTTPS を必須にするには、証明書をリクエストまたはインポートする前に AWS Certificate Manager コンソールで AWS リージョンを米国東部 (バージニア北部) に変更する必要があります。

CloudFront とオリジンとの間で HTTPS を必須にする場合、オリジンとして ELB ロードバランサーを使用していれば、任意のリージョンで証明書をリクエストまたはインポートできます。

証明書の形式

公開証明書は X.509 PEM 形式で作成されている必要があります。これは、AWS Certificate Manager を使用する場合のデフォルトの形式です。

中間証明書

サードパーティー認証機関 (CA) を使用している場合、.pem ファイルには、ドメインの証明書の署名者である認証機関の証明書から始めて、証明書チェーン内のすべての中間証明書を含めます。通常は、適切なチェーン順で中間証明書とルート証明書を並べたファイルが CA のウェブサイトに用意されています。

重要

ルート証明書、信頼パス内に存在しない中間証明書、CA の公開キー証明書は含めないでください。

例を示します。

-----BEGIN CERTIFICATE----- Intermediate certificate 2 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Intermediate certificate 1 -----END CERTIFICATE-----

キーのタイプ

CloudFront は RSA パブリックとプライベートのキーペアのみをサポートします。

プライベートキー

サードパーティー認証機関 (CA) の証明書を使用している場合、以下の点に注意してください。

  • プライベートキーが証明書のパブリックキーと一致している。

  • プライベートキーは、PEM 形式の RSA プライベートキーでもなければなりません。PEM 形式の PEM ヘッダーは BEGIN RSA PRIVATE KEY で、フッターは END RSA PRIVATE KEY です。

  • プライベートキーはパスワードで暗号化できません。

AWS Certificate Manager (ACM) によって証明書が提供される場合、ACM ではプライベートキーがリリースされません。プライベートキーは、ACM に統合された AWS のサービスで使用するために ACM に格納されます。

アクセス許可

SSL/TLS 証明書を使用およびインポートするアクセス許可が必要です。AWS Certificate Manager (ACM) を使用している場合は、AWS Identity and Access Management アクセス許可を使用して証明書へのアクセスを制限することをお勧めします。詳細については、AWS Certificate Manager ユーザーガイドの「アクセス許可とポリシー」を参照してください。

パブリックキーのサイズ

証明書のパブリックキーの長さは、その保存場所によって異なります。

  • AWS Certificate Manager (ACM) への証明書のインポート: パブリックキーの長さは 1,024 ビットまたは 2,048 ビットであることが必要です。ACM ではもっとサイズの大きいキーがサポートされていますが、CloudFront で使用できる証明書の最大の長さは 2048 ビットです。

  • AWS Identity and Access Management (IAM) 証明書ストアへの証明書のアップロード: パブリックキーの最大サイズは 2,048 ビットです。

2,048 ビットを使用することをお勧めします。

ACM が提供する証明書のパブリックキーの詳細については、AWS Certificate Manager ユーザーガイドの「ACM 証明書の特徴」を参照してください。

パブリックキーのサイズを確認する方法については、「SSL/TLS 証明書内のパブリックキーのサイズの確認」を参照してください。

サポートされている証明書のタイプ

CloudFront は、以下のすべてのタイプの証明書をサポートしています。

  • ドメイン認証証明書

  • 拡張認証 (EV) 証明書

  • 高保証証明書

  • ワイルドカード証明書 (*.example.com)

  • 主体者別名 (SAN) 証明書 (example.com および example.net)

証明書の有効期限切れと更新

サードパーティー認証機関 (CA) から取得した証明書を使用する場合、証明書の有効期限をモニタリングし、AWS Certificate Manager (ACM) にインポートする、または AWS Identity and Access Management 証明書ストアにアップロードする SSL/TLS 証明書を更新する責任があります。

ACM が提供する証明書を使用している場合、証明書の更新は ACM によって管理されます。詳細については、AWS Certificate Manager ユーザーガイドの「マネージド型」を参照してください。

CloudFront ディストリビューションと証明書のドメイン名

カスタムオリジンを使用する場合、オリジンの SSL/TLS 証明書の共通名フィールドにドメイン名が含まれ、さらにサブジェクト代替名フィールドにもドメイン名がいくつか含まれることがあります。(CloudFront では証明書ドメイン名にワイルドカード文字を使用できます。)

重要

ディストリビューションに代替ドメイン名を追加する場合、CloudFront はこの代替ドメイン名がアタッチした証明書の対象であることを確認します。証明書は、証明書のサブジェクト代替名 (SAN) フィールドの代替ドメイン名をカバーする必要があります。つまり、SAN フィールドは、代替ドメイン名と完全に一致するか、追加する代替ドメイン名の同じレベルにワイルドカードが含まれている必要があります。

詳細については、「 代替ドメイン名を使用するための要件」 を参照してください。

証明書のドメイン名のうち 1 つは、オリジンドメイン名に指定したドメイン名と一致する必要があります。ドメイン名が一致しない場合、CloudFront は HTTP ステータスコード 502 (Bad Gateway) をビューワーに返します。

SSL プロトコルの最低バージョン

専用 IP アドレスを使用している場合、セキュリティポリシーを選ぶことでビューワーと CloudFront との間の接続に最小 SSL プロトコルバージョンを設定できます。

詳細については、トピック「セキュリティポリシー」の「ディストリビューションを作成または更新する場合に指定する値」を参照してください。

サポートされる HTTP バージョン

1 つの証明書を複数の CloudFront ディストリビューションに関連付ける場合、証明書に関連付けられたすべてのディストリビューションで、サポートされる HTTP バージョン に対して同じオプションを使用する必要があります。このオプションは、CloudFront ディストリビューションを作成または更新するときに指定します。