翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# SSL/TLS 証明書を使用して Lightsail CDN ディストリビューションを保護する
Lightsailディストリビューションの Amazon Lightsail TLS/SSL 証明書を作成することができます。証明書を作成するときは、証明書のプライマリおよび代替ドメイン名を指定します。ディストリビューションのカスタムドメインを有効にして証明書を選択すると、それらのドメインはディストリビューションのカスタムドメインとして追加されます。ディストリビューションを指すようにドメインの DNS レコードを更新すると、ディストリビューションはトラフィックを受け入れ、HTTPS を使用してコンテンツを提供します。作成できる証明書の数にはクォータがあります。詳細については、「[Lightsail サービスクォータ](https://docs.aws.amazon.com/general/latest/gr/lightsail.html#limits_lightsail)」を参照してください。
SSL/TLS 証明書の詳細については、「[SSL/TLS 証明書](understanding-tls-ssl-certificates-in-lightsail-https.md)」を参照してください。
**重要**
ディストリビューションの SSL/TLS 証明書を作成するときに指定したドメイン名は、Amazon CloudFront サービスのディストリビューションを含め、すべての Amazon Web Services (AWS) アカウントでの別のディストリビューションで使用することはできません。ドメインの証明書を作成することはできますが、その証明書をディストリビューションで使用することはできません。
## 前提条件
開始する前に、Lightsail ディストリビューションを作成する必要があります。詳細については、「[ディストリビューションを作成する](amazon-lightsail-creating-content-delivery-network-distribution.md)」および「[コンテンツ配信ネットワークディストリビューション](amazon-lightsail-content-delivery-network-distributions.md)」を参照してください。
## ディストリビューション用の SSL/TLS 証明書を作成する
ディストリビューション用の SSL/TLS 証明書を作成するには、以下の手順を実行します。
1. [Lightsail コンソール](https://lightsail.aws.amazon.com/) にサインインします。
1. 左側のナビゲーションペインで、**[ネットワーク]** を選択します。
1. 証明書を作成する対象のディストリビューションの名前を選択します。
1. ディストリビューションの管理ページの**カスタムドメイン**タブを選択します。
1. ページ下部の [**アタッチされた証明書**] セクションまでスクロールします。
ページの **[Attached certificates]** (アタッチされた証明書) セクションには、他のディストリビューション用に作成された証明書や、使用中の証明書も使用中でない証明書も含む、すべてのディストリビューション証明書が含まれます。
1. [**証明書の作成**] を選択します。
1. 証明書を識別する一意の名前を **[Certificate name]** (証明書の名前) テキストボックスに入力します。次に、**[Continue]** (続行する) を選択します。
1. 証明書とともに使用するプライマリドメイン名 (例: `example.com`) を、**[Specify up to 10 domains or subdomains]** (最大 10 個のドメインまたはサブドメインを指定) フィールドに入力します。
1. (オプション) 代替ドメイン名 (例: `www.example.com`) を、残りの **[Specify up to 10 domains or subdomains]** (最大 10 個のドメインまたはサブドメインを指定) フィールドに入力します。
証明書には最大 9 個の代替ドメインを追加できます。カスタムドメインを有効にし、ディストリビューションの証明書を選択すると、すべての証明書ドメインをディストリビューションで使用できるようになります。
1. [**作成**] を選択します。
証明書のリクエストが送信されると、新しい証明書のステータスは **[Attempting to validate your certificate]** (証明書の検証を試行しています) に変更されます。この間、Lightsail は証明書の検証レコードをプライマリドメインの DNS に追加しようとします。しばらくすると、ステータスは **[Valid]** (有効) に変化します。
自動検証に失敗した場合、ディストリビューションとともに使用する前に、ドメインで証明書を検証する必要があります。詳細については、「[ディストリビューションの SSL/TLS 証明書を検証する](amazon-lightsail-validating-a-distribution-certificate.md)」を参照してください。
**Topics**
+ [前提条件](#create-distribution-prerequisite)
+ [ディストリビューション用の SSL/TLS 証明書を作成する](#create-distribution-certificate)
+ [SSL/TLS 証明書を表示する](amazon-lightsail-viewing-distribution-certificates.md)
+ [SSL/TLS 証明書の検証](amazon-lightsail-validating-a-distribution-certificate.md)
+ [TLS プロトコルの設定](amazon-lightsail-configure-distribution-tls-version.md)
+ [ディストリビューション証明書を削除](amazon-lightsail-deleting-distribution-certificates.md)
# Lightsail ディストリビューションの SSL/TLS 証明書を表示する
Lightsail ディストリビューションで作成した Amazon Lightsail SSL/TLS 証明書を表示できます。そのためには、Lightsail コンソールの任意のディストリビューションの管理ページにアクセスします。
SSL/TLS 証明書の詳細については、「[SSL/TLS 証明書](understanding-tls-ssl-certificates-in-lightsail-https.md)」を参照してください。
## 前提条件
開始する前に、Lightsail ディストリビューションを作成する必要があります。詳細については、「[ディストリビューションを作成する](amazon-lightsail-creating-content-delivery-network-distribution.md)」および「[コンテンツ配信ネットワークディストリビューション](amazon-lightsail-content-delivery-network-distributions.md)」を参照してください。
ディストリビューションの SSL/TLS 証明書も作成しておく必要があります。詳細については、「[ディストリビューションの SSL/TLS 証明書を作成する](amazon-lightsail-create-a-distribution-certificate.md)」を参照してください。
## ディストリビューションの SSL/TLS 証明書を表示
以下の手順を実行して、ディストリビューションの SSL/TLS 証明書を表示します。
1. [Lightsail コンソール](https://lightsail.aws.amazon.com/)にサインインします。
1. 左側のナビゲーションペインで、**[ネットワーク]** を選択します。
1. ディストリビューションの名前を選択します。
選択したディストリビューションに関係なく、すべての証明書を表示できます。
1. ディストリビューション管理ページで [**カスタムドメイン**] タブを選択します。
1. ページの下部にある **[Attached certificates]** (アタッチされた証明書) セクションまで下にスクロールします。
すべてのディストリビューション証明書は、このページの **[Attached certificates]** (アタッチされた証明書) セクションに一覧表示されます。証明書に関する重要な日付、暗号化の詳細、ID、検証レコードを表示するには、**[Validation details]** (検証の詳細) を展開します。証明書は、作成日から 13 か月間有効です。その後、Lightsail は自動的に証明書の再認証を試みます。ドメインに追加した CNAME レコードは、リストされている**有効期限**日に証明書が再検証されるときに必要になるため、削除しないでください。
ディストリビューションで使用する有効な SSL/TLS 証明書を取得したら、カスタムドメインを有効にして、ディストリビューションの証明書のドメイン名を使用できるようにする必要があります。詳細については、「[ディストリビューション用のカスタムドメインを有効にする](amazon-lightsail-enabling-distribution-custom-domains.md)」を参照してください。
# Lightsail ディストリビューションの SSL/TLS 証明書を検証する
Amazon Lightsail SSL / TLS 証明書は、作成した後 Lightsail ディストリビューションで使用する前に、検証を行う必要があります。証明書に対するリクエストが送信されると、新しい証明書のステータスが**[Attempting to validate your certificate]** (証明書の検証を試みています) に変更されます。この間に Lightsail は、証明書に指定したドメイン名の DNS に証明書の検証レコードを追加することを試みます。しばらくすると、ステータスが **[Valid]** (有効) または **[Validation timed out]** (検証がタイムアウトしました) に変わります。
自動検証に失敗した場合は、証明書の作成時に指定したすべてのドメイン名を管理していることを確認します。そのためには、証明書で指定された各ドメインの DNS ゾーンに正規名 (CNAME) レコードを追加します。追加する必要のあるレコードが、**[Validation details]** (検証の詳細) セクションに一覧表示されます。
このガイドでは、Lightsail DNS ゾーンを使用して、証明書を手動で検証するための手順を説明します。Domain.com や GoDaddy などの別の DNS ホスティングプロバイダーを使用して、証明書を検証する手順と類似しているかもしれません。Lightsail DNS ゾーンの詳細については、「[DNS](understanding-dns-in-amazon-lightsail.md)」を参照してください。
SSL/TLS 証明書の詳細については、「[SSL/TLS 証明書](understanding-tls-ssl-certificates-in-lightsail-https.md)」を参照してください。
**目次**
+ [前提条件](#validate-distribution-certificate-prerequisite)
+ [CNAME レコードの値を取得して証明書を検証する](#get-distribution-certificate-cname-records)
+ [ドメインの DNS ゾーンに CNAME レコードを追加する](#add-distribution-certificate-cname-records)
+ [ディストリビューション証明書のステータスを表示する](#viewing-distribution-certificate-status)
## 前提条件
開始する前に、ディストリビューション用の SSL/TLS 証明書を作成する必要があります。詳細については、「[ディストリビューションの SSL/TLS 証明書を作成する](amazon-lightsail-create-a-distribution-certificate.md)」を参照してください。
## CNAME レコードの値を取得して証明書を検証する
次の手順を実行して、証明書を検証するためにドメインに追加する必要があるCNAMEレコードを取得します。
1. [Lightsail コンソール](https://lightsail.aws.amazon.com/) にサインインします。
1. 左側のナビゲーションペインで、**[ネットワーク]** を選択します。
1. 証明書の CNAME レコード値を取得するディストリビューションの名前を選択します。
![\[Lightsail ホームページの [ネットワーク] セクション\]](http://docs.aws.amazon.com/ja_jp/lightsail/latest/userguide/images/lightsail-home-page-networking.png)
1. ディストリビューション管理ページで [**カスタムドメイン**] タブを選択します。
![\[Lightsail ディストリビューションのカスタムドメインタブ\]](http://docs.aws.amazon.com/ja_jp/lightsail/latest/userguide/images/lightsail-distribution-custom-domains-tab.png)
1. ページの下部にある **[Attached certificates]** (アタッチされた証明書) セクションまで下にスクロールします。
他の Lightsail リソース用に作成された証明書や、検証が保留中の証明書など、すべてのディストリビューション証明書が、このページの **[Attached certificates]** (アタッチされた証明書) セクションに一覧表示されます。
1. 検証する証明書を見つけて、**[Validation details]** (検証の詳細) を展開し、リストされているドメインごとに追加する必要がある CNAME レコードの **[Name]** (名前) と **[Value]** (値) をメモします。
これらのレコードは、リストされているとおりに正確に追加する必要があります。この値はコピーしてテキストファイルに貼り付け、後で参照できるようにしておくことをお勧めします。詳細については、このガイドの「[ドメインの DNS ゾーンに CNAME レコードを追加する](#add-distribution-certificate-cname-records)」セクションを参照してください。
## ドメインの DNS ゾーンに CNAME レコードを追加する
ドメインの DNS ゾーンにCNAMEレコードを追加するには、次のステップを実行します。
1. 左側のナビゲーションペインで **[ドメインと DNS]** を選択します。
1. ページの [**DNS ゾーン**] セクションで、証明書を検証するために CNAME レコードを追加するドメイン名を選択します。
1. **[DNS records]** (DNS レコード) タブを選択します。
1. DNS レコードの管理ページで、**[Add record]** (レコードの追加) を選択します。
1. **[Record type]** (レコードタイプ) のドロップダウンメニューから、**[CNAME]** を選択します。
1. **[Record name]** (レコード名) テキストボックスに、証明書から取得した値を使用して、CNAME レコードの **[Name]** (名前) を入力します。
Lightsail コンソールには、ドメインの頂点部分があらかじめ入力されています。たとえば、`www.example.com` サブドメインを追加する場合は、`www` をテキストボックスに入力するだけで、レコードを保存するときに Lightsail が `.example.com` の部分を追加します。
1. **[Route traffic to]** (トラフィックのルーティング先) テキストボックスに、証明書から取得した CNAME レコード内にある **[Value]** (値) の部分を入力します。
1. 入力した値が、検証する証明書に記載されている値とまったく同じであることを確認します。
1. 保存アイコンを選択して、レコードを DNS ゾーンに保存します。
これらのステップを繰り返して、検証が必要な証明書のドメインに CNAME レコードを追加します。変更がインターネットの DNS を通じて伝播されるまで待ちます。数分後に、ディストリビューション証明書のステータスが [**有効**] に変わるはずです。詳細については、本ガイドの以下の「[ディストリビューション証明書のステータスを表示する](#viewing-distribution-certificate-status)」セクションを参照してください。
## ディストリビューション証明書のステータスを表示する
以下の手順を実行して、ディストリビューションの SSL/TLS 証明書を表示します。
1. 左側のナビゲーションペインで、**[ネットワーク]** を選択します。
1. 証明書のステータスを表示するディストリビューションの名前を選択します。
![\[Lightsail ホームページの [ネットワーク] セクション\]](http://docs.aws.amazon.com/ja_jp/lightsail/latest/userguide/images/lightsail-home-page-networking.png)
1. ディストリビューション管理ページで [**カスタムドメイン**] タブを選択します。
![\[Lightsail ディストリビューションのカスタムドメインタブ\]](http://docs.aws.amazon.com/ja_jp/lightsail/latest/userguide/images/lightsail-distribution-custom-domains-tab.png)
1. ページの下部にある **[Attached certificates]** (アタッチされた証明書) セクションまで下にスクロールします。
ステータスが **[Pending validation]** (検証の保留中) および **[Valid]** (有効) の証明書を含む、すべてのディストリビューション証明書が、このページの **[Attached certificates]** (アタッチされた証明書) セクションに一覧表示されます。
![\[検証済み SSL/TLS 証明書\]](http://docs.aws.amazon.com/ja_jp/lightsail/latest/userguide/images/lightsail-validated-certificate.png)
[**有効**] なステータスは、ドメインに追加した CNAME レコードで証明書が正常に検証されたことを確認します。証明書に関する重要な日付、暗号化の詳細、ID、検証レコードを表示するには、**[Details]** (詳細) を選択します。証明書は、有効にした日から 13 か月間有効で、その後、Lightsail は自動的に再検証を試みます。ドメインに追加した CNAME レコードは、リストされている [**有効期限**] 日に証明書が再検証されるときに必要になるため、削除しないでください。
SSL/TLS 証明書を検証したら、ディストリビューションのカスタムドメインを有効にして、ディストリビューションの証明書のドメイン名を使用する必要があります。詳細については、「[ディストリビューション用のカスタムドメインを有効にする](amazon-lightsail-enabling-distribution-custom-domains.md)」を参照してください。
# 最小 TLS プロトコルバージョンで Lightsail ディストリビューションを保護する
Amazon Lightsail は SSL/TLS 証明書を使用して、Lightsail ディストリビューションで使用できるカスタム (登録済み) ドメインを検証します。このガイドでは、SSL/TLS 証明書に設定可能なビューワーの最小 TLS プロトコルバージョン (プロトコルバージョン) に関する情報を提供します。SSL/TLS 証明書の詳細については、[「Lightsail の SSL/TLS 証明書」](understanding-tls-ssl-certificates-in-lightsail-https.md)を参照してください。ビューワーは、Lightsail ディストリビューションに関連付けられているエッジロケーションに HTTP リクエストを行うアプリケーションです。ディストリビューションの詳細については、[Lightsail のコンテンツ配信ネットワークディストリビューション](amazon-lightsail-content-delivery-network-distributions.md)を参照してください。
`TLSv1.2_2021` プロトコルバージョンは、ディストリビューションのカスタムドメインを有効にすると、デフォルトで設定されます。このガイドで後述されるように、別のプロトコルバージョンを設定できます。Lightsail ディストリビューションはカスタム TLS プロトコルバージョンをサポートしていません。
## サポートされるプロトコル
Lightsail ディストリビューションは、次の TLS プロトコルを使用して設定できます:
+ (推奨) TLSv1.2\$12021
+ TLSv1.2\$12019
+ TLSv1.2\$12018
+ TLSv1.1\$12016
## 前提条件
以下の前提条件を完了します (まだの場合)。
+ [Lightsail コンテンツ配信ネットワークディストリビューションを作成する](amazon-lightsail-creating-content-delivery-network-distribution.md)
+ [ディストリビューションの SSL/TLS 証明書を作成する](amazon-lightsail-create-a-distribution-certificate.md)
+ [ディストリビューションの SSL/TLS 証明書を表示する](amazon-lightsail-validating-a-distribution-certificate.md)
+ [ディストリビューションのカスタムドメインを有効にする](amazon-lightsail-point-domain-to-distribution.md)
+ [ドメインをディストリビューションにポイントする](amazon-lightsail-point-domain-to-distribution.md)
## ディストリビューションの最小 TLS プロトコルバージョンを特定する
以下の手順に従い、Lightsail ディストリビューションの最小 TLS プロトコルバージョンを特定してください。
**注記**
このガイドでは、 AWS CloudShell を使用してアップグレードを実行します。CloudShell はブラウザーベースの事前認証済みシェルで、Lightsail コンソールから直接起動できます。CloudShell では、Bash、PowerShell、Z シェルなどの任意のシェルを使用して AWS CLI コマンドを実行できます。この手順は、コマンドラインツールのダウンロードもインストールも不要です。CloudShell をセットアップして使用する方法の詳細については、「[Lightsail のAWS CloudShell](amazon-lightsail-cloudshell.md)」を参照してください。
1. ターミナル「[AWS CloudShell](amazon-lightsail-cloudshell.md)」またはコマンドプロントウィンドウを開きます。
1. 次のコマンドを入力して、Lightsail ディストリビューションの最小 TLS プロトコルバージョンを特定します。
```
aws lightsail get-distributions --distribution-name DistributionName --region us-east-1 | grep "viewerMinimumTlsProtocolVersion"
```
コマンドで、*DistributionName* を変更したいディストリビューションの名前に置き換えます。
**例**
```
aws lightsail get-distributions --distribution-name Distribution-1 --region us-east-1 | grep "viewerMinimumTlsProtocolVersion"
```
コマンドは、ディストリビューションの最小 TLS プロトコルバージョンの ID を返します。
**例**
```
"viewerMinimumTlsProtocolVersion": "TLSv1.2_2021"
```
## を使用して最小 TLS プロトコルバージョンを設定する AWS CLI
AWS Command Line Interface (AWS CLI) を使用して TLS プロトコルバージョンを設定するには、次の手順を実行します。これは、`update-distribution` コマンドを使用して実行できます。詳細については、「*AWS CLI Command Reference*」の「[update-distribution 属性](https://docs.aws.amazon.com/cli/latest/reference/lightsail/update-distribution.html)」を参照してください。
1. ターミナル「[AWS CloudShell](amazon-lightsail-cloudshell.md)」またはコマンドプロントウィンドウを開きます。
1. ディストリビューションの最小 TLS プロトコルバージョンを変更するには、次のコマンドを入力します。
```
aws lightsail update-distribution --distribution-name DistributionName --viewer-minimum-tls-protocol-version ProtocolVersion
```
コマンドで、次のサンプルテキストを独自のテキストに置き換えます。
+ 更新したいディストリビューションの名前を含む *DistributionName*。
+ 有効な TLS プロトコルバージョンを含む *ProtocolVersion*。例えば、`TLSv1.2_2021`、`TLSv1.2_2019` などです。
例:
```
aws lightsail update-distribution --distribution-name MyDistribution --viewer-minimum-tls-protocol-version TLSv1.2_2021
```
変更が有効になるまで、少し時間がかかります。
# Lightsail ディストリビューションから使用されていない SSL/TLS 証明書を削除する
**警告**
SSL/TLS 証明書の削除は元に戻すことができません。
ディストリビューションで使用しなくなった Amazon Lightsail SSL/TLS 証明書を削除できます。たとえば、証明書の有効期限が切れており、検証済みの更新された証明書を既にアタッチしている場合などです。証明書の詳細については、「[SSL/TLS 証明書](understanding-tls-ssl-certificates-in-lightsail-https.md)」を参照してください。ディストリビューションの詳細については、「[コンテンツ配信ネットワークディストリビューション](amazon-lightsail-content-delivery-network-distributions.md)」を参照してください。
365 日間に作成できる証明書の数にはクォータがあります。詳細については、AWS 全般のリファレンスの「[Lightsail サービスクォータ](https://docs.aws.amazon.com/general/latest/gr/lightsail.html#limits_lightsail)」を参照してください。
## ディストリビューション用の SSL/TLS 証明書を削除する
**重要**
[**削除**] オプションは、削除する証明書が使用中の場合は使用できません。使用中の証明書を削除するには、まず証明書を使用しているディストリビューションのカスタムドメインを変更するか、証明書を使用しているディストリビューションのカスタムドメインを無効にする必要があります。
ディストリビューション用の SSL/TLS 証明書を削除するには、以下の手順を実行します。
1. [Lightsail コンソール](https://lightsail.aws.amazon.com/) にサインインします。
1. 左側のナビゲーションペインで、**[ネットワーク]** を選択します。
1. SSL/TLS 証明書を削除するディストリビューションの名前を選択します。証明書が現在使用中でない場合は、すべてのディストリビューションにすべての証明書がリストされるため、どのディストリビューションでも選択できます。
1. ディストリビューション管理ページで [**カスタムドメイン**] タブを選択します。
1. ページの [**証明書**] セクションで、削除する証明書の省略記号アイコン (⋮) を選択し、[**削除**] を選択します。
[**削除**] オプションは、削除する証明書が使用中の場合は使用できません。使用中の証明書を削除するには、まず証明書を使用しているディストリビューションのカスタムドメインを変更するか、証明書を使用しているディストリビューションのカスタムドメインを無効にする必要があります。詳細については、「[ディストリビューションのカスタムドメインを変更する](amazon-lightsail-changing-distribution-custom-domains.md)」および「[ディストリビューションのカスタムドメインを有効化する](amazon-lightsail-disabling-distribution-custom-domains.md#amazon-lightsail-disabling-distribution-custom-domains.title)」を参照してください。
1. [**はい、削除します**] を選択して削除を確定します。