Elastic Load Balancing
Application Load Balancer

サーバー証明書の更新

HTTPS リスナーを作成するには、デフォルトの証明書を指定します。別の証明書を追加することで、リスナーに証明書リストを作成することもできます。

各証明書には有効期間が記載されています。有効期間が終わる前に、証明書を更新するか、置き換える必要があります。証明書を更新または置き換えしても、ロードバランサーノードが受信し、正常なターゲットへのルーティングを保留中の未処理のリクエストには影響しません。証明書更新後、新しいリクエストは更新された証明書を使用します。証明書置き換え後、新しいリクエストは新しい証明書を使用します。

証明書の更新と置き換えは次のとおりに管理できます。

  • AWS Certificate Manager が提供し、ロードバランサーにデプロイされた証明書は、自動的に更新できます。ACM は期限切れになる前に証明書を更新しようとします。詳細については、『AWS Certificate Manager ユーザーガイド』にある「管理された更新」を参照してください。

  • 証明書を ACM にインポートした場合は、証明書の有効期限をモニタリングし、期限切れ前に更新する必要があります。詳細については、AWS Certificate Manager ユーザーガイドの「証明書のインポート」を参照してください。

  • IAM に証明書をインポートする場合、新しい証明書を作成し、この新しい証明書を ACM あるいは IAM にインポートします。ロードバランサーにこの新しい証明書を追加し、期限切れの証明書をロードバランサーから削除します。

制限

ACM は 4096 キー長および EC 証明書を使用する RSA 証明書をサポートします。ただし、これらの証明書を ACM との統合を介してロードバランサーにインストールすることはできません。これらの証明書をロードバランサーで使用するには、IAM にアップロードする必要があります。

証明書の追加

次の手順でリスナーの証明書リストに証明書を追加できます。リスナーのデフォルトの証明書は証明書リストにデフォルトで追加されませんが、デフォルトの証明書を証明書リストに追加できます。

コンソールを使用して証明書を追加するには

  1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインの [LOAD BALANCING] で [Load Balancers] を選択します。

  3. ロードバランサーを選択し、[Listeners] を選択します。

  4. HTTPS リスナーを更新するには、[証明書の表示/編集] を選択します。デフォルトの証明書を先頭に、リスナーに追加したそのほかのすべての証明書が表示されます。

  5. ACM と IAM によって管理されるそのほかすべての証明書に続いてデフォルトの証明書を表示する [証明書の追加] アイコン (プラス記号) をメニューバーで選択します。リスナーにすでに証明書を追加した場合は、そのチェックボックスが選択され無効になっています。

  6. ACM または IAM によってすでに管理されている証明書を追加するには、その証明書のチェックボックスを選択して [追加] を選択します。

  7. ACM または IAM が管理していない証明書がある場合は、その証明書を ACM にインポートし、次のとおりにリスナーに追加します。

    1. [証明書のインポート] を選択します。

    2. 証明書のプライベートキーの場合、PEM エンコードされ、暗号化されていないプライベートキーを証明書に貼り付けます。

    3. [証明書本文] では、PEM エンコードされた証明書を貼り付けます。

    4. (オプション) [証明書チェーン] では、PEM エンコードされた証明書チェーンを貼り付けます。

    5. [Import] を選択します。新規にインポートされた証明書は、選択された利用可能な証明書リストに表示されます。

    6. [Add] を選択します。

  8. この画面をそのままにして、メニューバーの [Back to the load balancer] (戻るボタン) を選択します。

AWS CLI を使用して証明書を追加するには

add-listener-certificates コマンドを使用します。

デフォルトの証明書の置き換え

次の手順でリスナーのデフォルトの証明書を置き換えできます。

コンソールを使用してデフォルトの証明書を変更するには

  1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインの [LOAD BALANCING] で [Load Balancers] を選択します。

  3. ロードバランサーを選択し、[Listeners] を選択します。

  4. リスナーのチェックボックスを選択して、[編集] を選択します。

  5. [Default SSL certificate (デフォルトの SSL 証明書)] で、次のいずれかを実行します。

    • AWS Certificate Manager を使用して証明書を作成またはインポートした場合は、[From ACM (ACM から)] を選択して、証明書を選択します。

    • IAM を使用して証明書をアップロードした場合は、[From IAM (IAM から)] を選択し、証明書を選択します。

  6. [Save] を選択します。

AWS CLI を使用してデフォルトの証明書を変更するには

modify-listener コマンドを使用します。

証明書の削除

デフォルト以外の証明書は HTTPS リスナーからいつでも削除できます。次の手順では、HTTPS リスナーのデフォルトの証明書は削除できません。

コンソールを使用して証明書を削除するには

  1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインの [LOAD BALANCING] で [Load Balancers] を選択します。

  3. ロードバランサーを選択し、[Listeners] を選択します。

  4. リスナーを更新するには、[証明書の表示/編集] を選択します。デフォルトの証明書を先頭に、リスナーに追加したそのほかのすべての証明書が表示されます。

  5. メニューバーで [証明書の削除] アイコン (マイナス記号) を選択します。

  6. 証明書のチェックボックスを選択して、[Remove (削除)] を選択します。

  7. この画面をそのままにして、メニューバーの [Back to the load balancer] (戻るボタン) を選択します。

AWS CLI を使用して証明書を削除するには

remove-listener-certificates コマンドを使用します。