Classic Load Balancer の SSL 証明書の置き換え
HTTPS リスナーがある場合、リスナー作成時に SSL サーバー証明書をロードバランサーにデプロイしました。各証明書には有効期間が記載されています。有効期間が終わる前に、証明書を更新するか、置き換える必要があります。
AWS Certificate Manager が提供し、ロードバランサーにデプロイされた証明書は、自動的に更新できます。ACM は期限切れになる前に証明書を更新しようとします。詳細については、AWS Certificate Manager ユーザーガイド の「管理された更新」を参照してください。証明書を ACM にインポートした場合は、証明書の有効期限をモニタリングし、期限切れ前に更新する必要があります。詳細については、AWS Certificate Manager ユーザーガイド の「証明書のインポート」を参照してください。ロードバランサーにデプロイされた証明書の更新後、新しいリクエストでは更新された証明書が使用されます。
証明書を置き換えるには、現在の証明書を作成したときと同じステップで、最初に新しい証明書を作成する必要があります。その後、証明書を置き換えることができます。ロードバランサーにデプロイされた証明書の置き換え後、新しいリクエストでは新しい証明書が使用されます。
証明書を更新または置き換えしても、ロードバランサーノードによって既に受け取られ、正常なターゲットへのルーティングを保留中のリクエストには影響しません。
コンソールを使用した SSL 証明書の置き換え
ロードバランサーにデプロイされた証明書は、ACM が提供する証明書または IAM にアップロードされた証明書で置き換えることができます。
HTTPS ロードバランサーの SSL 証明書を置き換えるには
-
https://console.aws.amazon.com/ec2/
で Amazon EC2 コンソールを開きます。 -
ナビゲーションペインの [LOAD BALANCING] で [ロードバランサー] を選択します。
-
ロードバランサーを選択します。
-
[Listeners] タブで、[SSL Certificate] の [Change] を選択します。
-
[Select Certificate] ページで、次のいずれかを実行します。
-
AWS Certificate Manager を使用して証明書を作成またはインポートした場合は、[Choose an existing certificate from AWS Certificate Manager (ACM) (AWS Certificate Manager (ACM) から既存の証明書を選択)] を選択し、[証明書] から証明書を選択して [保存] を選択します。
-
IAM を使用して証明書をすでにインポートしている場合は、[Choose an existing certificate from AWS Identity and Access Management (IAM) (AWS Identity and Access Management (IAM) から既存の証明書を選択)] を選択し、[証明書] から証明書を選択して、[保存] を選択します。
-
インポートする SSL 証明書があるが、このリージョンで ACM がサポートされていない場合は、[Upload a new SSL certificate to AWS Identity and Access Management (IAM)] を選択します。証明書の名前を入力し、フォームに必要な情報をコピーして、[保存] を選択します。証明書が自己署名証明書である場合は、証明書チェーンは必要ありません。
-
AWS CLI を使用した SSL 証明書の置き換え
ロードバランサーにデプロイされた証明書は、ACM が提供する証明書または IAM にアップロードされた証明書で置き換えることができます。
SSL 証明書を ACM が提供する証明書で置き換えるには
-
次の request-certificate コマンドを使用して新しい証明書をリクエストします。
aws acm request-certificate --domain-name
www.example.com
-
次の set-load-balancer-listener-ssl-certificate コマンドを使用して、証明書を設定します。
aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name
my-load-balancer
--load-balancer-port 443 --ssl-certificate-id arn:aws:acm:region
:123456789012
:certificate/12345678-1234-1234-1234-123456789012
SSL 証明書を IAM にアップロードされた証明書で置き換えるには
-
SSL 証明書があるが、まだアップロードしていない場合は、IAM ユーザーガイドの「サーバー証明書のアップロード」を参照してください。
-
次の get-server-certificate コマンドを使用して、証明書の ARN を取得します。
aws iam get-server-certificate --server-certificate-name
my-new-certificate
-
次の set-load-balancer-listener-ssl-certificate コマンドを使用して、証明書を設定します。
aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name
my-load-balancer
--load-balancer-port 443 --ssl-certificate-id arn:aws:iam::123456789012
:server-certificate/my-new-certificate