AWS Certificate Manager がどこでも使用できるエクスポート可能なパブリック SSL/TLS 証明書を導入

6 月 17 日、AWS Certificate Manager (ACM) からエクスポート可能なパブリック SSL/TLS 証明書についてお知らせします。このリリースに先立ち、お客様は追加コストなしで、パブリック証明書を発行したり、サードパーティーの認証期間 (CA) が発行した証明書をインポートしたりできるとともに、これらの証明書を AWS の統合サービス (Elastic Load Balancing (ELB)、Amazon CloudFront ディストリビューション、Amazon API Gateway など) にデプロイできます。

ACM からパブリック証明書をエクスポートし、プライベートキーに対するアクセスを取得して、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、コンテナ、またはオンプレミスホストで実行されているあらゆるワークロードで使用できるようになりました。エクスポート可能なパブリック証明書の有効期間は 395 日間です。発行時と更新時に料金が発生します。 ACM からエクスポートされたパブリック証明書は Amazon Trust Services によって発行され、Apple や Microsoft などの一般的に使用されているプラットフォーム、および Google Chrome や Mozilla Firefox などの人気のウェブブラウザによって広く信頼されています。

ACM のエクスポート可能なパブリック証明書の実際の動作
パブリック証明書をエクスポートするには、まず新しいエクスポート可能なパブリック証明書をリクエストします。以前に作成したパブリック証明書をエクスポートすることはできません。

開始するには、ACM コンソールで [証明書をリクエスト] を選択し、[エクスポートを許可] セクションで [エクスポートを有効にする] を選択します。[エクスポートを無効にする] を選択すると、この証明書のプライベートキーは ACM からエクスポートできなくなります。また、この設定は証明書の発行後に変更できません。

AWS コマンドラインインターフェイス (AWS CLI) で request-certificate コマンドを使用して、Export=ENABLED オプションを指定してエクスポート可能なパブリック証明書をリクエストすることもできます。

aws acm request-certificate \
--domain-name mydomain.com \
--key-algorithm EC_Prime256v1 \
--validation-method DNS \
--idempotency-token <token> \
--options \
CertificateTransparencyLoggingPreference=DISABLED \
Export=ENABLED

パブリック証明書をリクエストしたら、証明書をリクエストしているドメインを所有または管理していることを証明するために、ドメイン名を検証する必要があります。ドメイン検証が成功すると、通常は数秒以内に証明書が発行されます。

証明書のステータスが [発行済み] になったら、[エクスポート] を選択して発行済みのパブリック証明書をエクスポートできます。

プライベートキーを暗号化するためのパスフレーズを入力します。このパスフレーズは、後でプライベートキーを復号するために必要になります。パブリックキーを取得するには、[PEM エンコーディングを生成] を選択します。

PEM エンコーディングされた証明書、証明書チェーン、プライベートキーをコピーしたり、それぞれを個別のファイルにダウンロードしたりできます。

export-certificate コマンドを使用して、パブリック証明書とプライベートキーをエクスポートできます。セキュリティを強化するには、ファイルエディタを使用してパスフレーズと出力キーをファイルに保存し、コマンド履歴に保存されないようにします。

aws acm export-certificate \
     --certificate-arn arn:aws:acm:us-east-1:<accountID>:certificate/<certificateID> \
     --passphrase fileb://path-to-passphrase-file \
     | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"' \
     > /tmp/export.txt

これで、Amazon EC2 インスタンスなど、SSL/TLS 通信を必要とするワークロードで、エクスポートしたパブリック証明書を使用できるようになりました。詳細については、EC2 インスタンスでの「Configure SSL/TLS on Amazon Linux」にアクセスしてください。

知っておくべきこと
エクスポート可能なパブリック証明書について知っておくべきことがいくつかあります:

• キーのセキュリティ – 組織の管理者は、AWS IAM ポリシーを設定して、エクスポート可能なパブリック証明書をリクエストできるロールとユーザーを認可できます。現在証明書を発行する権限を持つ ACM ユーザーに、エクスポート可能な証明書を発行する権限が自動的に付与されます。また、ACM 管理者は証明書を管理し、証明書の取り消しや削除などのアクションを実行することもできます。エクスポートされたプライベートキーは、安全なストレージとアクセスコントロールを使用して保護する必要があります。
• 取り消し – 組織のポリシーを遵守するため、またはキーの漏えいによる影響を軽減するために、エクスポート可能なパブリック証明書を取り消す必要がある場合があります。取り消すことができるのは、以前にエクスポートされた証明書のみです。証明書の取り消しプロセスはグローバルかつ永続的です。取り消されると、取り消された証明書を取得して再利用することはできません。詳細については、AWS ドキュメントの「Revoke a public certificate」にアクセスしてください。
• 更新 – Amazon EventBridge を利用してエクスポート可能なパブリック証明書の自動更新イベントを設定することで、証明書の更新をモニタリングし、更新が発生したときに証明書のデプロイを処理するためのオートメーションを作成できます。詳細については、AWS ドキュメントの「Using Amazon EventBridge」にアクセスしてください。これらの証明書はオンデマンドで更新することもできます。証明書を更新すると、新しい証明書の発行にについて課金されます。詳細については、AWS ドキュメントの「Force certificate renewal」にアクセスしてください。

今すぐご利用いただけます
他のコンピューティングワークロードや、ELB、Amazon CloudFront、Amazon API Gateway を使用するために、ACM からエクスポート可能なパブリック証明書を発行して、証明書をプライベートキーとともにエクスポートできるようになりました。

ACM を利用してエクスポート可能なパブリック証明書を作成すると、追加料金がかかります。完全修飾ドメイン名ごとに 15 USD、ワイルドカードドメイン名ごとに 149 USD かかります。証明書の有効期間中に一度だけお支払いいただき、証明書の更新時にのみ再度課金されます。詳細については、「AWS Certificate Manager サービスの料金」ページにアクセスしてください。

ACM のエクスポート可能なパブリック証明書は、ACM コンソールでお試しいただけます。詳細については、ACM ドキュメントページにアクセスしてください。また、AWS re:Post for ACM または通常の AWS サポート担当者を通じてフィードバックをぜひお寄せください。

– Channy

原文はこちらです。