SSLも簡単に無料化できる時代がキター

このサイトもSSL化するかぁ……?

おまとめ三行

ELBでSSLを使ってみたいと思います
ELTのfragileでも聴きながら作成すればすぐさ
こりゃあ便利だぞい

SSLの証明書を発行できるサービスと言えば、グローバルサインとかRapidSSLとかいろいろありますけれど、どれもそれなりのお金がかかりますね。

無料で使用する方法もいくつかありますが(オレオレ証明書を使うとか)、AWSを利用している場合、無料で、しかも簡単にSSL証明書を利用できる機能があるので、それ使えばコストはかかりません。

ただしAWSのELBおよびCloudFrontでのみ、利用が可能という条件はつきます。EC2に直接インストールすることは、今はできないみたい。ついでに、AWS以外のサーバーで使うこともできません。

僕はCloudFrontってのはほとんど触ったことがないんで、今日はELBでSSLを使ってみたいと思います。



証明書の発行

SSL証明書の発行は、Certification Manager(以下ACM)ってところで行います。

コンソールパネルの日本語化が進んできましたな

ACMのページに行くと「証明書のリクエスト」ってのがあるんで、そこで証明書を利用したいドメインを登録します。

証明書のリクエスト

あかつきのお宿だったら「norm-nois.com」になりますね。「*.norm-nois.com」みたく、ワイルドカードの登録も可能です。

確認とリクエストボタンを押すと、認証用のメールが飛んでくるので、そのメール本文の中にあるURLをクリックすれば、証明書が発行されます。

ちなみに認証用のメールは、対象ドメインのWhois情報に登録されているメールアドレスに飛ぶようです。AWSのアカウントに飛ぶわけではないので注意。ただ僕の場合は、WhoisもAWSのアカウントも同じメールアドレスだったから、これについては正確な検証ができてないっす。すまんっす。

Whoisのメールアドレス以外にも「admin@ドメイン」「postmaster@ドメイン」「webmaster@ドメイン」などにもメールが飛ぶようです。内容は一緒なので、一通だけ受け取れれば問題はないです。

AWSのSESを使って認証メールを受け取る方法もあるようですが、僕はそれやらなかったんで、今回は省略です。



ELBに証明書をインストール

ELBでロードバランサーの作成が済んでいる前提での話になるので、作成してない人は、まずロードバランサーを作成してください。ロードバランサーの作成についてはここでは省略します。大丈夫、難しくないから。ELTのfragileでも聴きながら作成すればすぐさ。

ロードバランサーが作成できたら、リスナーの編集からSSL証明書の設定ができます。

ラジオのリスナー……ではない

SSL証明書の変更ボタンを押すと、証明書の選択画面が出てきます。

設定は簡単よ

ここにある「AWS 証明書マネージャ (ACM) から、既存の証明書を選択する」ってのを選ぶと、先ほど発行した証明書が選べるようになっているので、あとは保存するだけ。

設定が完了したら、httpsでURLにアクセスしてみましょう。無事にSSLが適用されているはず。



おまけ

ELBにドメインを割り当てるのは、Route53で行います。

「Create Record Set」でAレコードをセットする時、AliasをYesにすると、「Alias Target」という入力項目が出てくるので、そこに設定したいロードバランサーのDNS名を入力すれば、ロードバランサーにドメインが当たります。

DNS名はELBのとこでも確認できます






ACMなら、更新も自動でやってくれるっぽいので、うっかり期限が切れてしまったーなんてこともなくなります。こりゃあ便利だぞい。

ただし、発行できる証明書のタイプは、ドメイン認証タイプ(DV SSL)のみのようです。グローバルサインで言うところの、クイック認証SSLに該当するものですかね。企業認証用SSLやEVタイプは取得できないようです。そっちの証明書が欲しい場合は、別のサービスを利用するしかないみたいですね。いずれは使えるようになるのかもしれません。

他のサーバーで使うことはできませんが、そもそもACMを使おうとしてる時点で、サーバーもAWSを使う場合がほとんどでしょうし、あんま気にすることはないでしょう。

しかし、AWSはどんどんいろんなことができるようになって行くな……はっきり言って、全然使いこなせません。スマホと一緒だな。新しい機能がどんどん追加されるのは良いのだけど、ほとんど使えねーっつー話。

まだコメントはいただけてないみたい……
もしかしたら何か関連しているかも?