Elastic Load Balancing
クラシックロードバランサー

Classic Load Balancer の SSL/TLS 証明書

フロントエンドリスナーに HTTPS (SSL or TLS) を使用する場合、ロードバランサーに TLS/TLS 証明書をデプロイする必要があります。インスタンスにリクエストを送信する前に、ロードバランサーはこの証明書を使用して接続を終了し、クライアントからのリクエストを復号します。

SSL および TLS プロトコルは、X.509 証明書 (SSL/TLS サーバー証明書) を使用して、クライアントとバックエンドアプリケーションの両方を認証します。X.509 証明書は、認証機関 (CA) によって発行された IDENTITY デジタル フォームで、識別情報、有効期間、パブリックキー、シリアルナンバー、発行者のデジタル署名が含まれます。

証明書の作成には、AWS Certificate Manager または SSL や TLS プロトコルをサポートする OpenSSL などのツールを使用します。この証明書は、ロードバランサーの HTTPS リスナーを作成または更新するときに指定します。ロードバランサーで使用する証明書を作成するときに、ドメイン名を指定する必要があります。

AWS Certificate Manager を使用した SSL/TLS 証明書の作成またはインポート

AWS Certificate Manager (ACM) を使用して、ロードバランサーの証明書を作成またはインポートすることをお勧めします。ACM は、Elastic Load Balancing と統合して、ロードバランサーに証明書をデプロイできます。ロードバランサーに証明書をデプロイするには、証明書がロードバランサーと同じリージョンにある必要があります。詳細については、AWS Certificate Manager ユーザーガイド の「パブリック証明書のリクエスト」または「証明書のインポート」を参照してください。

IAM ユーザーが AWS マネジメントコンソール を使用して証明書をロードバランサーにデプロイするには、ACM ListCertificates API アクションへのアクセスを許可する必要があります。詳細については、「AWS Certificate Manager ユーザーガイド」の「証明書の一覧表示」を参照してください。

重要

4096 ビット RSA キーまたは EC キーを使用する証明書を ACM との統合を介してロードバランサーにインストールすることはできません。4096 ビット RSA キーまたは EC キーを使用する証明書をロードバランサーで使用するには、IAM にアップロードする必要があります。

IAM を使用した SSL/TLS 証明書のインポート

ACM を使用していない場合は、OpenSSL などの SSL/TLS を使用して署名証明書リクエスト (CSR) を作成し、CA から CSR 署名を取得して証明書を発行して、AWS Identity and Access Management (IAM) に証明書をアップロードすることができます。IAM にアップロードする証明書に関する詳細については、IAM ユーザーガイド の「サーバー証明書の使用」を参照してください。