メニュー
Amazon CloudFront
開発者ガイド (API Version 2016-09-29)

CloudFront で SSL/TLS の証明書を使用するための要件

SSL/TLS の証明書に関する次の要件は、例外を除き、ビューワーと CloudFront との間で HTTPS を使用するための証明書、および CloudFront とオリジンとの間で HTTPS を使用するための証明書の両方に適用されます。

証明書の発行元

証明書発行者の要件は、ビューワーと CloudFront、または CloudFront とオリジンとの間で HTTPS を必須にするかどうかで異なります。

  • ビューワーと CloudFront との間の HTTPS – 信頼された認証機関 (Comodo、DigiCert、Symantec など)、AWS Certificate Manager (ACM) が提供する証明書、または自己署名証明書を使用できます。

  • CloudFront とカスタムドメインとの間の HTTPS – オリジンが ELB ロードバランサーでない場合、証明書は信頼された認証機関 (Comodo、DigiCert、Symantec など) によって発行される必要があります。オリジンが ELB ロードバランサーの場合、ACM が提供する証明書を使用することもできます。

    重要

    CloudFront が HTTPS を使用してオリジンと通信するとき、CloudFront は証明書が信頼された認証機関によって発行されたものであることを確認します。CloudFront は Mozilla と同じ認証機関をサポートします。現在のリストについては、「Mozilla に付属する CA 証明書一覧」を参照してください。CloudFront とオリジンとの間の HTTPS 通信に自己署名証明書を使用することはできません。

    SSL/TLS 証明書の取得とインストール方法については、使用している HTTP サーバーソフトウェアのドキュメントおよび認証機関のドキュメントを参照してください。ACM の詳細については、AWS Certificate Manager ユーザーガイドを参照してください。

AWS Certificate Manager: 証明書をリクエストする AWS リージョン

ビューワーと CloudFront との間で HTTPS を必須にするには、証明書をリクエストまたはインポートする前に AWS リージョンを 米国東部(バージニア北部) に変更する必要があります。

CloudFront とオリジンとの間で HTTPS を必須にする場合、オリジンとして ELB ロードバランサーを使用しているなら、任意のリージョンで証明書をリクエストまたはインポートできます。

証明書の形式

公開証明書は X.509 PEM 形式で作成されている必要があります。これは、ACM を使用する場合のデフォルトの形式です。

中間証明書

サードパーティーの認証機関を使用している場合、.pem ファイルには、ドメインの証明書の署名者である認証機関の証明書から始めて、証明書チェーン内のすべての中間証明書を含めます。通常は、適切なチェーン順で中間証明書とルート証明書を並べたファイルが CA のウェブサイトに用意されています。

重要

ルート証明書、信頼パス内に存在しない中間証明書、CA の公開キー証明書は含めないでください。

例を示します。

Copy
-----BEGIN CERTIFICATE----- Intermediate certificate 2 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Intermediate certificate 1 -----END CERTIFICATE-----
キーのタイプ

CloudFront は RSA パブリック/プライベートキーペアのみをサポートします。

プライベートキー

サードパーティー認証機関の証明書を使用している場合、以下の点に注意してください。

  • プライベートキーが証明書のパブリックキーと一致している。

  • プライベートキーは、PEM 形式の RSA プライベートキーでもなければなりません。PEM 形式の PEM ヘッダーは BEGIN RSA PRIVATE KEY で、フッターは END RSA PRIVATE KEY です。

  • プライベートキーはパスワードで暗号化できません。

ACM が証明書を提供した場合、ACM はプライベートキーをリリースしません。プライベートキーは、ACM に統合された AWS サービスで使用するために ACM に格納されます。

アクセス許可

SSL/TLS 証明書の使用とインポートを行うための許可が必要です。これには、証明書をコンテンツ配信ネットワーク (CDN) にインポートするための、証明書発行元の認証機関からの許可が含まれます。

ACM を使用している場合は、IAM アクセス許可を使用して証明書へのアクセスを制限することをお勧めします。詳細については、AWS Certificate Manager ユーザーガイドアクセス権限とポリシーを参照してください。

パブリックキーのサイズ

証明書を ACM にインポートする場合は、パブリックキーの長さが 1024 ビットまたは 2048 ビットである必要があります。

証明書を IAM 証明書ストアにアップロードする場合、パブリックキーの最大サイズは 2048 ビットです。

ACM が提供する証明書のパブリックキーの詳細については、AWS Certificate Manager ユーザーガイドACM 証明書のプロパティを参照してください。

パブリックキーのサイズを確認する方法については、「SSL/TLS 証明書内のパブリックキーのサイズの確認」を参照してください。

サポートされている証明書のタイプ

CloudFront はすべての種類の証明書をサポートします。たとえば、ドメイン検証済み証明書、拡張検証 (EV) 証明書、高保証証明書、ワイルドカード証明書 (*.example.com)、サブジェクト代替名 (SAN) 証明書 (example.com および example.net) などをサポートします。

証明書の有効期限切れと更新

サードパーティー認証機関から取得した証明書を使用している場合、ACM にインポートする、または IAM 証明書ストアにアップロードする SSL/TLS 証明書の有効期限をモニタリングして更新する責任があります。

ACM が提供する証明書を使用している場合、ACM は証明書の更新を管理します。詳細については、『AWS Certificate Manager ユーザーガイド』にある「管理された更新」を参照してください。

CloudFront ディストリビューションと証明書のドメイン名

カスタムオリジンを使用する場合、オリジンの SSL/TLS 証明書の共通名フィールドにドメイン名が含まれ、さらにサブジェクト代替名フィールドにもドメイン名がいくつか含まれることがあります。 (CloudFront は証明書ドメイン名にワイルドカード文字を使用できます)。証明書のドメイン名のうち 1 つは、オリジンドメイン名に指定したドメイン名と一致する必要があります。ドメイン名が一致しない場合、CloudFront は、ビューワーに HTTP ステータスコード 502 (Bad Gateway) を返します。

SSL プロトコルの最低バージョン

専用 IP アドレスを使用している場合、ビューワーと CloudFront との間の接続に最小 SSL プロトコルバージョン (SSLv3 または TLSv1) を選択できます。詳細については、トピック「ウェブディストリビューションを作成または更新する場合に指定する値」の「SSL プロトコルの最低バージョン」を参照してください。

サポートされる HTTP バージョン

同じ証明書を複数の CloudFront ディストリビューションに関連付ける場合は、すべてのディストリビューションで サポートされる HTTP バージョン の同じオプションを使用する必要があります。