翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Application Load Balancer 用の HTTPS リスナーを更新する
<a name="listener-update-certificates"></a>

HTTPS リスナーを作成すると、デフォルトの証明書の置き換え、証明書リストの更新、またはセキュリティポリシーの置き換えが可能になります。

**Topics**
+ [デフォルトの証明書の置き換え](#replace-default-certificate)
+ [証明書リストに証明書を追加する](#add-certificates)
+ [証明書リストから証明書を削除する](#remove-certificates)
+ [セキュリティポリシーの更新](#update-security-policy)
+ [HTTP ヘッダーの変更](#update-header-modification)

## デフォルトの証明書の置き換え
<a name="replace-default-certificate"></a>

次の手順でリスナーのデフォルトの証明書を置き換えできます。詳細については、「[デフォルトの証明書](https-listener-certificates.md#default-certificate)」を参照してください。

------
#### [ Console ]

**デフォルトの証明書を置き換えるには**

1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。

1. ナビゲーションペインで、[**ロードバランサー**] を選択します。

1. ロードバランサーを選択します。

1. **[リスナーとルール]** タブで、**[プロトコル:ポート]** 列のテキストを選択して、リスナーの詳細ページを開きます。

1. **[証明書]** タブで、**[デフォルトを変更]** を選択します。

1. **[ACM および IAM 証明書]** 表内の新しいデフォルト証明書を選択します。

1. (オプション) デフォルトでは、**[リスナー証明書リストに以前のデフォルト証明書を追加]** を選択します。現在 SNI のリスナー証明書がなく、TLS セッションの再開に依存していない限り、このオプションを選択しておくことをお勧めします。

1. **[デフォルトとして保存]** を選択します。

------
#### [ AWS CLI ]

**デフォルトの証明書を置き換えるには**  
[modify-listener](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-listener.html) コマンドを使用します。

```
aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --certificates CertificateArn=new-default-certificate-arn
```

------
#### [ CloudFormation ]

**デフォルトの証明書を置き換えるには**  
[AWS::ElasticLoadBalancingV2::Listener](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-listener.html) を更新します。

```
Resources:
  myHTTPSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties: 
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: HTTPS
      Port: 443
      DefaultActions:
        - Type: "forward"
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
      Certificates: 
        - CertificateArn: new-default-certificate-arn
```

------

## 証明書リストに証明書を追加する
<a name="add-certificates"></a>

次の手順でリスナーの証明書リストに証明書を追加できます。を使用してリスナーを作成した場合 AWS マネジメントコンソール、デフォルトの証明書が証明書リストに追加されました。それ以外の場合、証明書リストは空です。デフォルトの証明書を証明書リストに追加すると、デフォルトの証明書として置き換えられたとしても、この証明書が SNI プロトコルで使用されます。詳細については、「[Application Load Balancer の SSL 証明書](https-listener-certificates.md)」を参照してください。

------
#### [ Console ]

**証明書リストに証明書を追加するには**

1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。

1. ナビゲーションペインで、[**ロードバランサー**] を選択します。

1. ロードバランサーを選択します。

1. **[リスナーとルール]** タブで、**[プロトコル:ポート]** 列のテキストを選択して、リスナーの詳細ページを開きます。

1. [**証明書**] タブを選択します。

1. デフォルトの証明書をリストに追加するには、**[デフォルトをリストに追加]** を選択します。

1. デフォルト以外の証明書をリストに追加するには、次の手順を実行します。

   1. **[証明書を追加]** を選択します。

   1. ACM または IAM によって既に管理されている証明書を追加するには、その証明書のチェックボックスを選択して [**保留中として以下を含める**] を選択します。

   1. ACM または IAM が管理していない証明書を追加するには、**[証明書をインポート]** を選択し、フォームに記入して、**[インポート]** を選択します。

   1. **[保留中の証明書を追加]** を選択します。

------
#### [ AWS CLI ]

**証明書リストに証明書を追加するには**  
[add-listener-certificates](https://docs.aws.amazon.com/cli/latest/reference/elbv2/add-listener-certificates.html) コマンドを使用します。

```
aws elbv2 add-listener-certificates \
    --listener-arn listener-arn \
    --certificates \
        CertificateArn=certificate-arn-1 \
        CertificateArn=certificate-arn-2 \
        CertificateArn=certificate-arn-3
```

------
#### [ CloudFormation ]

**証明書リストに証明書を追加するには**  
[AWS::ElasticLoadBalancingV2::ListenerCertificate](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-listenercertificate.html) タイプのリソースを定義します。

```
Resources: 
  myCertificateList:
    Type: 'AWS::ElasticLoadBalancingV2::ListenerCertificate'
    Properties:
      ListenerArn: !Ref myTLSListener
      Certificates:
        - CertificateArn: "certificate-arn-1"
        - CertificateArn: "certificate-arn-2"
        - CertificateArn: "certificate-arn-3"
```

------

## 証明書リストから証明書を削除する
<a name="remove-certificates"></a>

次の手順で HTTPS リスナーの証明書リストから証明書を削除できます。証明書を削除すると、リスナーはその証明書を使用して接続を作成できなくなります。クライアントが影響を受けないようにするには、新しい証明書をリストに追加し、リストから証明書を削除する前に接続が機能していることを確認します。

TLS リスナーのデフォルトの証明書を削除するには、[デフォルトの証明書の置き換え](#replace-default-certificate) を参照してください。

------
#### [ Console ]

**証明書リストから証明書を削除するには**

1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。

1. ナビゲーションペインで、[**ロードバランサー**] を選択します。

1. ロードバランサーを選択します。

1. **[リスナーとルール]** タブで、**[プロトコル:ポート]** 列のテキストを選択して、リスナーの詳細ページを開きます。

1. **[証明書]** タブで、証明書のチェックボックスを選択し、**[削除]** を選択します。

1. 確認を求められたら、**confirm** と入力し、**[削除]** を選択します。

------
#### [ AWS CLI ]

**証明書リストから証明書を削除するには**  
[remove-listener-certificates](https://docs.aws.amazon.com/cli/latest/reference/elbv2/remove-listener-certificates.html) コマンドを使用します。

```
aws elbv2 remove-listener-certificates \
    --listener-arn listener-arn \
    --certificates CertificateArn=certificate-arn
```

------

## セキュリティポリシーの更新
<a name="update-security-policy"></a>

HTTPS リスナーを作成するときに、ニーズを満たすセキュリティポリシーを選択できます。新しいセキュリティのポリシーを追加したら、HTTPS リスナーを更新して新しいセキュリティポリシーを使用できます。Application Load Balancer は、カスタムセキュリティポリシーをサポートしていません。詳細については、「[Application Load Balancer のセキュリティポリシー](describe-ssl-policies.md)」を参照してください。

セキュリティポリシーを更新すると、ロードバランサーが大量のトラフィックを処理している場合に中断が発生する可能性があります。ロードバランサーが大量のトラフィックを処理しているときに中断の可能性を減らすには、トラフィックの処理や LCU 予約のリクエストに役立つ追加のロードバランサーを作成します。

**互換性**
+ 同じロードバランサーにアタッチされたすべてのセキュアリスナーは、互換性のあるセキュリティポリシーを使用する必要があります。ロードバランサーのすべてのセキュアリスナーを、現在使用中のセキュリティポリシーと互換性のないセキュリティポリシーに移行するには、セキュアリスナーの 1 つを除くすべてのリスナーを削除し、セキュアリスナーのセキュリティポリシーを変更してから、追加のセキュアリスナーを作成します。
  + FIPS ポスト量子 TLS ポリシーと FIPS ポリシー - **互換**
  + ポスト量子 TLS ポリシーと FIPS または FIPS ポスト量子 TLS ポリシー - **互換**
  + TLS ポリシー (非 FIPS、non-post-quantum) および FIPS または FIPS ポスト量子 TLS ポリシー - **互換性なし**
  + TLS ポリシー (非 FIPS、non-post-quantumおよびポスト量子 TLS ポリシー - **互換性なし**

------
#### [ Console ]

**セキュリティポリシーを更新するには**

1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。

1. ナビゲーションペインで、[**ロードバランサー**] を選択します。

1. ロードバランサーを選択します。

1. **[リスナーとルール]** タブで、**[プロトコル:ポート]** 列のテキストを選択して、リスナーの詳細ページを開きます。

1. **[セキュリティ]** タブで **[セキュアリスナーの設定を編集]** を選択します。

1. **[セキュアリスナーの設定]** セクションの **[セキュリティポリシー]** で、新しいセキュリティポリシーを選択します。

1. **[Save changes]** (変更の保存) をクリックします。

------
#### [ AWS CLI ]

**セキュリティポリシーを更新するには**  
[modify-listener](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-listener.html) コマンドを使用します。

```
aws elbv2 modify-listener \
    --listener-arn listener-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-Res-2021-06
```

------
#### [ CloudFormation ]

**セキュリティポリシーを更新するには**  
[AWS::ElasticLoadBalancingV2::Listener](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-listener.html) リソースを新しいセキュリティポリシーで更新します。

```
Resources:
  myHTTPSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties: 
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: HTTPS
      Port: 443
      DefaultActions:
        - Type: "forward"
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
      Certificates: 
        - CertificateArn: certificate-arn
```

------

## HTTP ヘッダーの変更
<a name="update-header-modification"></a>

HTTP ヘッダーの変更により、特定のロードバランサーが生成したヘッダーの名前変更、特定のレスポンスヘッダーの挿入、サーバーレスポンスヘッダーの無効化を行うことができます。Application Load Balancer は、リクエストヘッダーとレスポンスヘッダーの両方でヘッダーの変更をサポートします。

詳細については、「[Application Load Balancer の HTTP ヘッダー変更を有効にする](enable-header-modification.md)」を参照してください。