メニュー
Amazon CloudFront
開発者ガイド (API バージョン 2016-09-29)

CloudFront で SSL/TLS の証明書を使用するための要件

このトピックでは、SSL/TLS 証明書の要件について説明します。これらの要件は、特に注記がなければ、以下の両方の証明書に適用されます。

  • ビューワーと CloudFront との間で HTTPS を使用するための証明書

  • CloudFront とオリジンとの間で HTTPS を使用するための証明書

証明書の発行元

使用する必要のある証明書の発行元は、ビューワーと CloudFront との間、または CloudFront とオリジンとの間で HTTPS を必須にするかどうかによって異なります。

  • ビューワーと CloudFront との間の HTTPS – 信頼された認証機関 (Comodo、DigiCert、Symantec など)、AWS Certificate Manager (ACM) が提供する証明書、または自己署名証明書を使用できます。

  • CloudFront とカスタムドメインとの間の HTTPS – オリジンが ELB ロードバランサー (Amazon EC2 など) でない場合、証明書は信頼された認証機関 (Comodo、DigiCert、Symantec など) によって発行される必要があります。オリジンが ELB ロードバランサーの場合、ACM が提供する証明書を使用することもできます。

    重要

    CloudFront が HTTPS を使用してオリジンと通信するとき、CloudFront は証明書が信頼された認証機関によって発行されたものであることを確認します。CloudFront は Mozilla と同じ認証機関をサポートします。現在のリストについては、「Mozilla に付属する CA 証明書一覧」を参照してください。CloudFront とオリジンとの間の HTTPS 通信に自己署名証明書を使用することはできません。

    SSL/TLS 証明書の取得とインストール方法については、使用している HTTP サーバーソフトウェアのドキュメントおよび認証機関のドキュメントを参照してください。ACM の詳細については、AWS Certificate Manager ユーザーガイドを参照してください。

証明書をリクエストする AWS リージョン (AWS Certificate Manager 用)

ビューワーと CloudFront との間で HTTPS を必須にするには、証明書をリクエストまたはインポートする前に AWS Certificate Manager コンソールで AWS リージョンを 米国東部(バージニア北部) に変更する必要があります。

CloudFront とオリジンとの間で HTTPS を必須にする場合、オリジンとして ELB ロードバランサーを使用しているなら、任意のリージョンで証明書をリクエストまたはインポートできます。

証明書の形式

公開証明書は X.509 PEM 形式で作成されている必要があります。これは、AWS Certificate Manager を使用する場合のデフォルトの形式です。

中間証明書

サードパーティー認証機関 (CA) を使用している場合、.pem ファイルには、ドメインの証明書の署名者である認証機関の証明書から始めて、証明書チェーン内のすべての中間証明書を含めます。通常は、適切なチェーン順で中間証明書とルート証明書を並べたファイルが CA のウェブサイトに用意されています。

重要

ルート証明書、信頼パス内に存在しない中間証明書、CA の公開キー証明書は含めないでください。

例を示します。

-----BEGIN CERTIFICATE----- Intermediate certificate 2 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Intermediate certificate 1 -----END CERTIFICATE-----

キーのタイプ

CloudFront は RSA パブリック/プライベートキーペアのみをサポートします。

プライベートキー

サードパーティー認証機関 (CA) の証明書を使用している場合、以下の点に注意してください。

  • プライベートキーが証明書のパブリックキーと一致している。

  • プライベートキーは、PEM 形式の RSA プライベートキーでもなければなりません。PEM 形式の PEM ヘッダーは BEGIN RSA PRIVATE KEY で、フッターは END RSA PRIVATE KEY です。

  • プライベートキーはパスワードで暗号化できません。

AWS Certificate Manager (ACM) が証明書を提供した場合、ACM はプライベートキーをリリースしません。プライベートキーは、ACM に統合された AWS サービスで使用するために ACM に格納されます。

アクセス許可

SSL/TLS 証明書の使用とインポートを行うためのアクセス権限が必要です。これには、証明書をコンテンツ配信ネットワーク (CDN) にインポートするための、証明書発行元の認証機関 (CA) からのアクセス権限が含まれます。

AWS Certificate Manager (ACM) を使用している場合は、AWS Identity and Access Management アクセス権限を使用して証明書へのアクセスを制限することをお勧めします。詳細については、AWS Certificate Manager ユーザーガイドアクセス権限とポリシーを参照してください。

パブリックキーのサイズ

証明書のパブリックキーの長さは、その保存場所によって異なります。

  • AWS Certificate Manager (ACM) への証明書のインポート: パブリックキーの長さは 1,024 ビットまたは 2,048 ビットであることが必要です。ACM ではより大規模なキーがサポートされていますが、CloudFront で使用する証明書の制限は 2048 ビットです。

  • AWS Identity and Access Management (IAM) 証明書ストアへの証明書のアップロード: パブリックキーの最大サイズは 2,048 ビットです。

2,048 ビットを使用することをお勧めします。

ACM が提供する証明書のパブリックキーの詳細については、AWS Certificate Manager ユーザーガイドACM 証明書のプロパティを参照してください。

パブリックキーのサイズを確認する方法については、「SSL/TLS 証明書内のパブリックキーのサイズの確認」を参照してください。

サポートされている証明書のタイプ

CloudFront は、以下のすべてのタイプの証明書をサポートしています。

  • ドメイン認証証明書

  • 拡張認証 (EV) 証明書

  • 高保証証明書

  • ワイルドカード証明書 (*.example.com)

  • 主体者別名 (SAN) 証明書 (example.com および example.net)

証明書の有効期限切れと更新

サードパーティー認証機関 (CA) から取得した証明書を使用する場合、AWS Certificate Manager (ACM) にインポートする、または AWS Identity and Access Management 証明書ストアにアップロードする SSL/TLS 証明書の有効期限をモニタリングして更新する責任があります。

ACM が提供する証明書を使用している場合、ACM は証明書の更新を管理します。詳細については、『AWS Certificate Manager ユーザーガイド』にある「管理された更新」を参照してください。

CloudFront ディストリビューションと証明書のドメイン名

カスタムオリジンを使用する場合、オリジンの SSL/TLS 証明書の Common Name フィールドにドメイン名が含まれ、さらに Subject Alternative Names フィールドにもドメイン名がいくつか含まれることがあります。 (CloudFront は証明書ドメイン名にワイルドカード文字を使用できます)。

証明書のドメイン名のうち 1 つは、オリジンドメイン名に指定したドメイン名と一致する必要があります。ドメイン名が一致しない場合、CloudFront は HTTP ステータスコード 502 (Bad Gateway) をビューワーに返します。

SSL プロトコルの最低バージョン

専用 IP アドレスを使用している場合、セキュリティグループを選ぶことでビューワーと CloudFront との間の接続に最小 SSL プロトコルバージョンを選択できます。

詳細については、トピック「ウェブディストリビューションを作成または更新する場合に指定する値」の「セキュリティポリシー」を参照してください。

サポートされる HTTP バージョン

1 つの証明書を複数の CloudFront ディストリビューションに関連付ける場合、証明書に関連付けられたすべてのディストリビューションでは、サポートされる HTTP バージョン に対して同じオプションを使用する必要があります。このオプションは、CloudFront ディストリビューションを作成または更新するときに指定します。