ステップ 4: HTTPS トラフィックを有効にして証明書を検証する - AWS CloudHSM
インバウンド HTTPS 接続の有効化設定した証明書が HTTPS で使用されていることを検証する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 4: HTTPS トラフィックを有効にして証明書を検証する

で SSL/TLS オフロード用にウェブサーバーを設定したら AWS CloudHSM、インバウンド HTTPS トラフィックを許可するセキュリティグループにウェブサーバーインスタンスを追加します。これにより、ウェブブラウザなどのクライアントがウェブサーバーと HTTPS 接続を確立できるようになります。次に、ウェブサーバーに HTTPS 接続を行い、 で SSL/TLS オフロード用に設定した証明書を使用していることを確認します AWS CloudHSM。

インバウンド HTTPS 接続の有効化

クライアント (ウェブブラウザなど) からウェブサーバーに接続するには、インバウンド HTTPS 接続を許可するセキュリティグループを作成します。具体的には、ポート 443 でインバウンドの TCP 接続を許可する必要があります。このセキュリティグループをウェブサーバーに割り当てます。

HTTPS のセキュリティグループを作成してウェブサーバーに割り当てるには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインで、[セキュリティグループ] を選択します。

  3. [Create Security Group] を選択します。

  4. [Create Security Group] で、以下の操作を行います。

    1. [Security group name] に、作成するセキュリティグループの名前を入力します

    2. (オプション) 作成するセキュリティグループの説明を入力します。

    3. [VPC] で、ウェブサーバーのAmazon EC2インスタンスが含まれている VPC を選択します。

    4. [Add rule (ルールの追加)] を選択します。

    5. [タイプ] で、ドロップダウンウィンドウから [HTTPS] を選択します。

    6. [ソース] には、ソースの場所を入力します。

    7. [Create Security Group] を選択します。

  5. ナビゲーションペインで、[インスタンス] を選択します。

  6. ウェブサーバーインスタンスの横にあるチェックボックスを選択します。

  7. ページの上部で [アクション] ドロップダウンメニューを選択します。[セキュリティ] を選択し、[セキュリティグループの変更] を選択します。

  8. [関連付けられたセキュリティグループ] で、検索ボックスを選択して HTTPS 用に作成したセキュリティグループを選択します。次に、[セキュリティグループの追加] を選択します。

  9. [Save] を選択します。

設定した証明書が HTTPS で使用されていることを検証する

ウェブサーバーをセキュリティ グループに追加した後、SSL/TLS オフロードが自己署名証明書を使用していることを確認できます。この検証には、ウェブブラウザ、または OpenSSL s_client などのツールを使用できます。

ウェブブラウザで SSL/TLS オフロードを確認するには

  1. ウェブブラウザを使用し、サーバーの公開 DNS 名または IP アドレスを使用してウェブサーバーに接続します。アドレスバーの URL が https:// で始まっていることを確認します。例えば https://ec2-52-14-212-67.us-east-2.compute.amazonaws.com/ です。

    ヒント

    Amazon Route 53 などの DNS サービスを使用して、ウェブサイトのドメイン名 (https://www.example.com/ など) をウェブサーバーにルーティングできます。詳細については、Amazon Route 53 開発者ガイドAmazon EC2 インスタンスへのトラフィックのルーティング または DNS サービスのドキュメントを参照してください。

  2. ウェブブラウザを使用して、ウェブサーバー証明書を表示します。詳細については、次を参照してください。

    • Mozilla Firefox の場合は、Mozilla サポートウェブサイトの「証明書を見る」を参照してください。

    • Google Chrome の場合は、ウェブ開発者向け Google ツールのウェブサイトで「セキュリティの問題を理解する」を参照してください。

    他のウェブブラウザでも、同様の機能を使用してウェブサーバー証明書を表示できる場合があります。

  3. SSL/TLS 証明書が、ウェブサーバーに設定したものであることを確認してください。

OpenSSL s_client で SSL/TLS オフロードを確認するには

  1. HTTPS を使用してウェブサーバーに接続するには、次の OpenSSL コマンドを実行します。<サーバー名> は、ウェブサーバーの公開 DNS 名または IP アドレスに置き換えます。

    openssl s_client -connect <server name>:443
    ヒント

    Amazon Route 53 などの DNS サービスを使用して、ウェブサイトのドメイン名 (https://www.example.com/ など) をウェブサーバーにルーティングできます。詳細については、Amazon Route 53 開発者ガイドAmazon EC2 インスタンスへのトラフィックのルーティング または DNS サービスのドキュメントを参照してください。

  2. SSL/TLS 証明書が、ウェブサーバーに設定したものであることを確認してください。

これで、ウェブサイトが HTTPS で保護されるようになりました。ウェブサーバーのプライベートキーは、 AWS CloudHSM クラスターの HSM に保存されます。

ロードバランサーを追加するには、「Elastic Load Balancing を使用してロードバランサーを追加する (オプション)」を参照してください。