翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ACM を使用して Windows SSL 証明書をApplication Load Balancer に移行
作成者:Chandra Sekhar Yaratha (AWS) と Igor Kovalchuk (AWS)
環境:本稼働 | ソース:Windows ウェブアプリケーション | ターゲット:AWS上の Application Load Balancer |
R タイプ:リプラットフォーム | ワークロード: Microsoft | テクノロジー: 移行、管理とガバナンス、ウェブおよびモバイルアプリ |
AWS サービス: Elastic Load Balancing (ELB)、AWS Certificate Manager (ACM) |
[概要]
このパターンでは、AWS Certificate Manager (ACM) を使用して、オンプレミスサーバーでホストされているウェブサイトまたは Microsoft インターネットインフォメーションサービス (IIS) 上の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスから既存のセキュアソケットレイヤー (SSL) 証明書を移行するためのガイダンスを提供します。その後、SSL 証明書は AWS の Elastic Load Balancing で使用できます。
SSL はデータを保護し、本人確認を行い、検索エンジンのランキングを向上させ、ペイメントカード業界データセキュリティ基準 (PCI DSS) の要件を満たすのに役立ち、顧客の信頼を高めます。これらのワークロードを管理する開発者や IT チームは、IIS サーバーや Windows サーバーなどの ウェブアプリケーションとインフラストラクチャがベースラインポリシーに準拠し続けることを望んでいます。
このパターンでは、既存の SSL 証明書を Microsoft IIS から手動でエクスポートし、個人情報交換 (PFX) 形式から ACM がサポートするプライベート拡張メール (PEM) 形式に変換し、AWS アカウントの ACM にインポートします。また、アプリケーションのApplication Load Balancer を作成し、インポートした証明書を使用するようにApplication Load Balancer を設定する方法についても説明します。その後、HTTPS 接続はApplication Load Balancer で終了されるため、ウェブサーバー上で追加の構成オーバーヘッドが発生することはありません。詳細については、 のCreate an HTTPS Listener for Your Application Load Balancerを参照してください。
Windows サーバーは.pfx または.p12 ファイルを使用して、パブリックキーファイル (SSL 証明書) と固有のプライベートキーファイルを格納します。認証局 (CA) が公開キーファイルを提供します。サーバーを使用して、証明書署名要求 (CSR) が作成された関連する秘密キーファイルを生成します。
前提条件と制限
前提条件
アクティブなAWS アカウント
ターゲットが使用する各アベイラビリティーゾーンで少なくとも 1 つのプライベートサブネットと 1 つのパブリックサブネットを持つ AWS の仮想プライベートクラウド (VPC)
Windows サーバー2012 以降で実行されている IIS バージョン 8.0 以降
IIS で実行されているウェブアプリケーション
IIS サーバーへの管理者アクセス。
アーキテクチャ
ソーステクノロジースタック
SSL を使用した IISウェブサーバーの実装により、データが暗号化された接続 (HTTPS) で安全に送信されるようにします。
ソースアーキテクチャ
ターゲットテクノロジースタック
AWS アカウントの ACM 証明書
インポートされた証明書を使用するように設定されたApplication Load Balancer
プライベートサブネット内の Windows サーバーインスタンス
ターゲット アーキテクチャ
ツール
Elastic Load Balancing (ELB) は、受信するアプリケーションまたはネットワークのトラフィックを複数のターゲットに分散します。たとえば、1 つ以上のアベイラビリティーゾーンの EC2 インスタンス、コンテナ、IP アドレスにトラフィックを分散できます。
ベストプラクティス
HTTP から HTTPS へのトラフィックリダイレクトを強制します。
Application Load Balancer のセキュリティグループを適切に設定して、特定のポートへのインバウンドトラフィックのみを許可します。
複数のアベイラビリティーゾーンで EC2 インスタンスを起動し、高可用性を確保します。
IP アドレスの代わりに、アプリケーションロードバランサーの DNS 名を指すようにアプリケーションのドメインを設定します。
Application Load Balancer にアプリケーションレイヤーのヘルスチェック が設定されていることを確認します。
ヘルスチェックのしきい値を設定します。
Amazon CloudWatch
を使用して Application Load Balancer をモニタリングします。
エピック
タスク | 説明 | 必要なスキル |
---|---|---|
Windows サーバーから.pfx ファイルをエクスポートします。 | Windows Server のオンプレミスの IIS マネージャーから SSL 証明書を.pfx ファイルとしてエクスポートするには:
これで、.pfx ファイルが指定した場所とパスに保存されるはずです。 | システム管理者 |
タスク | 説明 | 必要なスキル |
---|---|---|
OpenSSL ツールキットをダウンロードし、インストールします。 |
| システム管理者 |
PFX でエンコードされた証明書を PEM 形式に変換します。 | 次の手順では、PFX でエンコードされた署名付き証明書ファイルを PEM 形式の 3 つのファイルに変換します。
PFX でエンコードされた証明書を変換するには:
| システム管理者 |
タスク | 説明 | 必要なスキル |
---|---|---|
証明書をインポートするように準備します。 | ACM コンソール | クラウド管理者 |
証明書本文を提供します。 | 証明書本文の場合、インポートする PEM エンコードされた証明書を貼り付けます。 このエピックの他のタスクで説明されているコマンドと手順の詳細については、ACM ドキュメントの証明書のインポート を参照してください。 | クラウド管理者 |
証明書のプライベートキーを指定します。 | 証明書のプライベートキーの場合、PEM エンコードされ、証明書のパブリックキーに一致する暗号化されていないプライベートキーを貼り付けます。 | クラウド管理者 |
証明書チェーン。 | 証明書チェーンでは、 | クラウド管理者 |
証明書をインポートする | レビューとインポートを選択します。証明書に関する情報が正しいことを確認し、インポートを選択します。 | クラウド管理者 |
タスク | 説明 | 必要なスキル |
---|---|---|
ロードバランサーとリスナーを作成し、設定します。 | Elastic Load Balancing ドキュメント の指示に従って、ターゲットグループを設定し、ターゲットを登録し、Application Load Balancer とリスナーを作成します。ポート 443 に 2 つ目のリスナー (HTTPS) を追加します。 | クラウド管理者 |
トラブルシューティング
問題 | ソリューション |
---|---|
Windows PowerShell は、システムパスに追加した後でも OpenSSL コマンドを認識しません。 |
そうでない場合は、 で次のコマンドを実行します PowerShell。
|
関連リソース
ACM への証明書のインポート
Application Load Balancer の作成