翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Classic Load Balancer 用の SSL/TLS 証明書

フロントエンドリスナーに HTTPS (SSL or TLS) を使用する場合、ロードバランサーに TLS/TLS 証明書をデプロイする必要があります。インスタンスにリクエストを送信する前に、ロードバランサーはこの証明書を使用して接続を終了し、クライアントからのリクエストを復号します。

SSL および TLS プロトコルは、X.509 証明書 (SSL/TLS サーバー証明書) を使用して、クライアントとバックエンドアプリケーションの両方を認証します。X.509 証明書は、認証機関 (CA) によって発行された IDENTITY デジタル フォームで、識別情報、有効期間、パブリックキー、シリアルナンバー、発行者のデジタル署名が含まれます。

証明書は、 AWS Certificate Manager または OpenSSL などの SSL および TLS プロトコルをサポートするツールを使用して作成できます。この証明書は、ロードバランサーの HTTPS リスナーを作成または更新するときに指定します。ロードバランサーで使用する証明書を作成するときに、ドメイン名を指定する必要があります。

ロードバランサーで使用する証明書を作成するときに、ドメイン名を指定する必要があります。証明書のドメイン名は、カスタムドメイン名レコードと一致する必要があります。一致しない場合、TLS 接続を確認できないため、トラフィックは暗号化されません。

www.example.com などの証明書の完全修飾ドメイン名 (FQDN) または example.com などのapex ドメイン名を指定する必要があります。また、同じドメインで複数のサイト名を保護するために、アスタリスク (*) をワイルドカードとして使用できます。ワイルドカード証明書をリクエストする場合、アスタリスク (*) はドメイン名の一番左の位置に付ける必要があり、1 つのサブドメインレベルのみを保護できます。例えば、*.example.com は corp.example.com、images.example.com を保護しますが、test.login.example.com を保護することはできません。また、*.example.com は example.com のサブドメインのみを保護し、ネイキッドドメインまたは apex ドメイン (example.com) は保護しないことに注意してください。ワイルドカード名は、証明書の [件名] フィールドと [サブジェクト代替名] 拡張子に表示されます。公開証明書の詳細については、AWS Certificate Manager ユーザーガイドの「公開証明書」を参照してください。

を使用して SSL/TLS 証明書を作成またはインポートする AWS Certificate Manager

AWS Certificate Manager (ACM) を使用して、ロードバランサーの証明書を作成またはインポートすることをお勧めします。ACM は ELB と統合されているため、ロードバランサーに証明書をデプロイできます。ロードバランサーに証明書をデプロイするには、証明書がロードバランサーと同じリージョンにある必要があります。詳細については、AWS Certificate Manager ユーザーガイドのパブリック証明書のリクエストまたは証明書のインポートを参照してください。

ユーザーが AWS マネジメントコンソールを使用して証明書をロードバランサーにデプロイするには、ACM ListCertificates API アクションへのアクセスを許可する必要があります。詳細については、AWS Certificate Manager ユーザーガイドの証明書の一覧表示を参照してください。

IAM を使用する SSL/TLS 証明書のインポート

ACM を使用していない場合は、OpenSSL などの SSL/TLS を使用して署名証明書リクエスト (CSR) を作成し、CA から CSR 署名を取得して証明書を発行し、IAM に証明書をアップロードすることができます。詳細については、IAM ユーザーガイド の Working with server certificates を参照してください。