今回はAWSのSSLサービス「AWS Certificate Manager」について概要を紹介致します。

■AWS Certificate Manager(ACM)とは

AWS上にてSSL証明書を使用したい際、AWSにてSSL証明書を発行するサービスとなっております。
使用出来る環境はAWS環境となりますが、証明書を発行する際のCSRファイル作成や、認証局への申請が不要なため、非常にお手軽にSSL証明書を発行することができます。

本サービス開始当初は使用出来るリージョンが限られていたのですが、先日東京リージョンでも使用可能となったため、東京リージョンで作成しているインスタンスにも導入出来ることになりました。

■メリット

使用料金は無料

SSL証明書の発行や使用にかかる費用は発生せず、無料となっております。コスト面を気にする必要なく、SSL証明書を使用することができます。

期限更新は自動

通常、SSL証明書には約一年の有効期限が定められており、有効期限が近付くと新しいものに更新する作業が必要となっております。
しかし、ACMではAWSが証明書を自動で更新してくれます。つまり、約一年に一度、行わなければならなかった証明書の発行や更新作業が不要となっております。

ワイルドカード/マルチドメインも使用可

サブドメインごとに発行する必要がなくなる、ワイルドカード証明書やマルチドメイン証明書もACMでは使用可能となっております。
通常これらの証明書を発行する際には、サブドメインごとの証明書より費用は割高となっておりますが、ACMは前述の通り無料のため、これらの証明書も無料で発行することが出来ます。

証明書、秘密鍵がよりセキュアに

証明書や秘密鍵はAWS上に保管され、AWSが管理するため、秘密鍵が漏洩する可能性は極めて低くなっております。

■デメリット

使用出来るサービスが限定されている

ACMで作成した証明書を導入出来るサービスは現状ELB及びCloudFrontのみとなっております。その他のサービスに組み込むことは出来ません(2016/08現在)

証明書、秘密鍵等のファイル出力不可

前述の通り、証明書や秘密鍵はAWSにて管理されているため、ファイルの中身は出力出来ず確認することが出来ません。
そのため、ELBではなくEC2に直接設定することや、ACM上で証明書を発行し、その証明書をオンプレミスサーバに導入すること等は不可能となっております。

発行できる証明書はドメイン認証(DV)のみ

ACMではドメイン認証(DV)SSL証明書のみ発行することが出来、組織認証(OV)や実在認証(EV)は発行することが出来ません。
従って、下記のようなEV証明書を使用した、グリーンバー表示等は不可能となっております。

メールでのドメイン認証が必須

ACMにて証明書を発行する際、申請したドメインの管理者であることを確認するために、該当ドメインへメールが送信されます。
従って、該当ドメインを使用したメール環境が存在しないと該当メールを受け取ることができないため、本認証をパスすることが出来ません。
申請したいドメインのメール環境が存在しない場合は、SESのメール受信機能等を使用する必要があります。

■まとめ

・ACMでは更新不要のSSL証明書を無料で発行することが出来るが、現在導入できるのはELBとCloud Frontのみとなっている。
・ワイルドカード証明書も無料で発行することが出来るが、発行できる証明書種類はドメイン認証(DV)のみ
・ACMを使用するにあたって、証明書を発行したいドメインにて、メールを受信出来る必要がある。

ACMでの証明書発行から導入については、次回書かせていただければと存じます。
今回はここまでとさせていただきます。