AWSにおけるSSL証明書の発行方法は？ACM活用のメリットや注意点

SSL証明書の基礎知識

まずは、そもそもSSL証明書とは何か、どのような目的で利用されるものなのか、全体像を掴みましょう。

そもそもSSL証明書とは

SSL証明書とは、ウェブサイトが安全に通信を行うための電子的な「身分証明書」です。SSLはSecure Socket Layer（現在は後継のTLS＝Transport Layer Securityが正式名称）の略で、インターネット上のデータの「盗聴」や「なりすまし」を防止する暗号化プロトコルです。SSL/TLSには大きく分けて「暗号化通信」と「実在証明」という2つの役割があります。暗号化通信により送受信される情報が第三者に読み取られないよう保護され、実在証明によりそのサイトの運営者が信頼できる相手であることを証明します。つまりSSL証明書は、サイト運営者のサーバーに対して暗号化通信（ユーザーの個人情報を保護）と認証（サイト運営者の身元保証）の機能を提供するものです。

SSL証明書は信頼のおける認証局（Certificate Authority, CA）によって署名されて発行されます。認証局にも種類があり、インターネット全体で通用する証明書を発行できる「パブリック認証局」と、企業や組織内部で独自に運用する「プライベート認証局」が存在します。パブリック証明書は政府やベンダーなど公的な認証局が発行した証明書で、GoogleやMozillaなどブラウザを開発するベンダーにより「信頼された証明書」としてOSやブラウザにプリインストール済みのルートCAを通じて自動的に信頼されます。一方、プライベート証明書は各組織が構築した内部用認証局が発行する証明書で、主に社内システムやVPNなどサーバー間通信で利用されます。AWSのACMを使用すれば、公的に信頼されるパブリック証明書だけでなく、自社用のプライベートCAを利用した証明書も発行できます。

SSL証明書の種類

一口にSSL証明書といっても、取得時の審査レベルに応じて主に3種類に分類されます。DV証明書（Domain Validation）、OV証明書（Organization Validation）、EV証明書（Extended Validation）の3つです。

DV（ドメイン認証）証明書:
最も基本的な証明書で、ドメインの所有権が申請者にあることのみを確認して発行されます。審査はオンライン上でのドメイン確認（後述のメールまたはDNSによる検証）だけで完了し、発行も迅速です。個人ブログやキャンペーンサイトなど、企業の実在性よりも、とにかく通信を暗号化したい場合に利用されます。AWSのACMが発行できるのもこのDV証明書に該当します。

OV（企業実在認証・組織認証）証明書:
ドメインの所有確認に加え、申請者が実在する企業または組織であることを審査して発行される証明書です。証明書には組織名などの情報が含まれ、第三者から見てもどの組織が運営するサイトかが一目で分かるようになります。一般にコーポレートサイトや会員制サービスなど、利用者に運営母体を認知させたほうが良いウェブサイトで使われます。

EV（拡張認証）証明書:
最も厳格な審査が行われる証明書です。OVの内容（ドメイン所有と企業実在の確認）に加えて、申請者の法的な立場や申請意思の確認まで含めた詳細な審査が行われます。EV証明書は取得コストも高いため、本当に厳格な証明が必要な場合にのみ検討するとよいでしょう。

上記3種類いずれのSSL証明書でも、ブラウザ上ではURL欄に錠前アイコン（🔒）が表示され通信が暗号化されていること自体は共通です。用途に応じて適切な種類の証明書を選ぶことが重要です。

AWSにおける SSL証明書の発行方法

SSLとは何か理解できたところで、アマゾン ウェブ サービス（AWS）でのSSLの扱いについて基本を理解しましょう。

AWS Certificate Manager (ACM) とは？

AWSにおいてSSL/TLS証明書を利用するには、主にAWS Certificate Manager (ACM)というマネージドサービスを使う方法があります。ACMはAWSが提供するSSL証明書発行サービスで、これを使うことでSSL証明書の取得から更新までを無料(または安価)かつ簡単に行うことができます。利用しやすいサービスであり、広く利用されています。

ACMで発行されたSSL証明書はAWS環境内で様々なサービスに組み込んで利用できます。具体的には、後述するようにElastic Load Balancer(ELB)やAmazon CloudFrontといったサービスと統合し、ウェブサイトのHTTPS化（通信の暗号化と証明書の提示）を行うのが一般的です。加えて、Amazon API Gatewayでカスタムドメインに証明書を適用したり、AWS AmplifyやAWS Cognitoなど一部の他のマネージドサービスでもACMで管理された証明書を利用できたりします。

ACMによる証明書のリクエスト手順

それでは、AWS上でSSL証明書を取得する具体的な手順を概説します。ACMを利用した証明書の発行は、AWSマネジメントコンソール上で数分ほどで完了します。以下はパブリック証明書（DV）のリクエスト手順の概要です。

1.ACMコンソールへのアクセス:AWSマネジメントコンソールにログインし、「Certificate Manager」を開きます（サービス一覧から選択するか、検索バーに「ACM」と入力）。

2.証明書のリクエスト開始: ACMのダッシュボードで「証明書のリクエスト」をクリックします。証明書の種類として「パブリック証明書をリクエスト」を選択し、次へ進みます。
ドメイン名の入力: 証明書に含めたいドメイン名を入力します。通常は「example.com」やサブドメインのFQDNを指定します。ワイルドカード証明書を取得する場合は、「*.example.com」のように先頭にアスタリスクを付けた形式で入力します。

3.ドメイン所有の検証方法選択:ドメイン名の所有者であることを確認するための検証方法を選びます。「DNS検証（推奨）」または「Eメール検証」のいずれかを選択可能です。DNS検証を選ぶと、後ほど指定されるCNAMEレコードをドメインのDNSに設定することで所有証明を行います。Eメール検証を選ぶ場合、ドメインの登録者メールアドレス宛等にAWSから確認メールが送信され、内含のリンクをクリックすることで承認を行います。

4.検証プロセスの実行:リクエストを送信すると、AWS側で証明書の発行処理が保留状態となり、指定した方法でドメイン検証が行われます。DNS検証を選択した場合、ACM画面上に表示されるCNAMEレコードの情報をドメインのDNSに追加します。もしDNS管理にAWSのRoute 53を利用しているなら、ワンクリックで必要なレコードを自動作成できるため非常に簡単です。Eメール検証を選択した場合は、ドメイン管理者宛（WHOISに登録された連絡先や一般的な管理用メールアドレス**admin@**等)に届いたメールを受信し、記載されたURLにアクセスして承認します。社内でメールを受け取れる環境がないドメインだと検証ができないため、事前にメール受信環境を用意しておきましょう。

5.証明書の発行:ドメイン検証が完了すると、自動的に証明書が発行されACMに登録されます（ステータスが「発行済み」となります）。これでAWS上で使えるSSLサーバー証明書が準備できました。

ACMでSSL証明書を発行するメリット

AWSでSSL対応をするのであれば、ACMの活用には多くのメリットがあります。ここでは主な利点を紹介します。

自動的に更新される

ACM最大のメリットは証明書の有効期限管理を自動化できることです。一般にSSL/TLS証明書の有効期限は近年13ヶ月（約395日）に短縮され、1年ごとに更新が必要です。更新忘れによる証明書期限切れはサービス停止につながる重大なリスクですが、ACM発行の証明書であれば有効期限が来てもAWSが自動で更新処理を行います。特にDNS検証で発行した証明書は有効期限の約60日前から自動更新され、更新後の証明書はELBやCloudFrontにシームレスに適用され続けます。

無料で発行できる

ACMを使えば、パブリックなSSL証明書やワイルドカード証明書を追加コストなしで発行できます。一般の商用CAから取得するとDV証明書でも年間数千円程度、OV/EVならさらに高額な費用が発生しますが、ACM経由なら証明書自体の発行費用はゼロです。
※ACMプライベートCA（社内用証明書発行機能）は有料ですが、本記事の範囲では主に無料で利用できるパブリック証明書について述べています。

証明書の管理が容易になる

AWSマネジメントコンソールやAWS CLI/APIから証明書を一元管理できるのも利点です。ACMでの発行手順は数クリックで完了し、発行済み証明書の一覧や各証明書の利用状況をAWS上で確認できます。組織内で複数の証明書を扱う場合でも、誰がいつどの証明書を取得しどこに使っているかを可視化しやすく、証明書管理のガバナンス向上につながります。

AWSの他サービスと統合されている

ACMの証明書はAWSの主要サービスとネイティブに連携して動作します。他のAWSサービス上で使うための設定がシンプルで、余計な調整が要りません。特にAmazon Route 53（AWSのDNSサービス）でドメインを管理している場合、ACMでのドメイン検証はボタン一つで完了します。Amazon CloudFrontやELB、API Gatewayなど前述の通り多くのAWSサービスがACM証明書をサポートしており、AWS内のソリューションと統合してセキュリティ対応を完結できるのは大きなメリットです。

ACMを利用する際の注意点

便利なACMですが、利用にあたっていくつか注意すべきポイントも存在します。事前に知っておくことで「想定と違った！」という状況になることを防げるので、要点を押さえておきましょう。

提供される証明書はドメイン認証に限られる

前述の通り、ACM経由で提供される公開証明書はドメイン認証タイプのみです。企業認証(OV)やEV証明書を取得することはできません。もしOVやEVが必要な場合は、Amazonが提供する以外の認証局から証明書を購入してACMにインポートするか、AWSではなくサーバー（例：Apache）側で直接設定する必要があります。ただしインポートした証明書はACM上で期限管理はできますが自動更新されないため、自前で更新し再インポートする手間が発生します。

特定の条件下では自動更新されないことがある

基本的にACM発行のDV証明書は有効期限が来れば自動更新されますが、いくつか例外的に自動更新が行われないケースがあります。代表的なのは次の3つです。

(1) 他所で発行した証明書をACMにインポートして使っている場合（これは対象外のため自動更新されません）
(2) 証明書取得時にDNSではなくメールによるドメイン検証を行った場合
(3) 発行済み証明書をどのリソース（ELBやCloudFront等）にも紐付けていない場合

後者2つについては、DNS検証を利用し証明書は必ず何らかのサービスに適用して使うようにすることで回避できます。特にメール検証を使った証明書は、有効期限が近づくと再度確認メールが届き手動対応が必要になるため、現在ではDNS検証に切り替えることが推奨されています。

リージョンによって使用できる証明書が異なる

ACMの証明書はリージョンごとに管理されています。そのため発行したリージョンとは別のリージョンにあるサービスには直接使えません。特にCloudFrontは例外的に北バージニア(us-east-1)リージョン限定なので注意が必要でした。このようにリージョンの違いを跨いで利用する場合は、各リージョンで証明書を用意するかマルチリージョン対応の仕組み（AWS CloudFormationで自動発行するなど）を検討しましょう。基本的には「証明書を使いたいAWSリソースが存在するリージョンで証明書を発行する」と覚えておけば問題ありません。

メールを受信できる環境が必要になる

ドメインの所有権確認をメール方式で行う場合、そのメールを受け取れる環境が必要です。社内システム管理用のドメインなどで普段メール受信をしていない場合、確認メールが届いても気付かず手続きが完了しない恐れがあります。ACMでは、あらかじめ決められた管理者メール（admin@ドメインなど）宛にのみ検証メールが送られる仕様です。証明書の更新時にも再度メールを介した承認が必要になることから、繰り返しになりますがDNS検証の活用が望ましいです。

以上のポイントを踏まえつつACMを使えば、想定外のトラブルなくAWS上でのSSL対応を進められるでしょう。

AWSで本格的なSSL活用を実践しましょう

本記事ではSSL/TLS証明書の基礎からAWSでの発行方法、さらにACMのメリットと留意点について解説しました。ACMを利用すれば、AWS上でパブリックなSSL証明書を無料で発行でき、有効期限が来れば自動更新までしてくれるため、証明書更新漏れによるサービス停止の心配も減り管理の手間も大きく削減できます。AWS環境で手軽に暗号化通信を導入しセキュリティ強化を図りたい場合、ACMの活用は有効であると言えるでしょう。

もっとも、「AWS自体に不慣れで設定や運用に不安がある...」という方もいるかもしれません。そうした場合は無理に独力で対応せず、クラウドに強いパートナー企業のサービスを利用するのも一つの方法です。ACMの設定からAWS各サービスとの統合まで包括的にサポートしてくれるサービスも存在します。

サーバーワークスはAWS環境におけるSSL/TLS証明書取得から導入、運用保守までワンストップで支援しています。専門家の力を借りることで、初めてのAWSでのSSL対応も安心して実践できるでしょう。ぜひAWSのメリットを活かしつつ、SSL化によるセキュリティ向上に取り組んでみてください。

弊社が皆様のパートナーになれますと幸いです。

詳細はこちら >> AWS構築・移行支援サービス