新しいAWS Certificate Managerサービスを利用してSSL証明書をAWS EC2に追加する方法
AWSは、新しいサービスAWS Certificate Managerを考案しました。この説明から得たものの1つは、このサービスを使用している場合、証明書の代金を支払う必要がないことです。
Elastic Load Balancer(ELB)およびCloudFrontの証明書を提供していますが、EC2はどこにも見つかりませんでした。
EC2で証明書を使用する方法はありますか?
Q:Amazon EC2インスタンスまたは自分のサーバーで証明書を使用できますか?
いいえ。現時点では、ACMが提供する証明書は特定のAWSサービスでのみ使用できます。
Q:ACMが提供する証明書を使用できるAWSサービスはどれですか?
次のAWSサービスでACMを使用できます。
•弾性負荷分散
•Amazon CloudFront
•AWS Elastic Beanstalk
•Amazon API Gateway
Amazon Certificate Manager(ACM) によって作成された証明書は、EC2やAWSの外部のサーバーなど、直接低レベルでアクセスできるリソースにはインストールできません。秘密鍵。これらの証明書は、AWSインフラストラクチャ(ELBおよびCloudFront)によって管理されるリソースにのみデプロイできます。これは、AWSインフラストラクチャが、生成する証明書の秘密キーのコピーのみを保持し、監査可能な内部アクセス制御による厳しいセキュリティ下でそれらを維持するためです。
EC2からのコンテンツにこれらの証明書を使用するには、EC2マシンがの背後で(= /// =)をリッスンする必要がありますCloudFrontまたはELB(または両方、カスケード、動作します)...これらの証明書をEC2マシンに直接インストールできないためです。
いいえ、aws証明書マネージャーを使用してEC2に証明書をデプロイすることはできません。証明書マネージャーの証明書は、クラウドフロントおよびエラスティックロードバランサーに対してのみデプロイできます。 Inoredrをec2で使用するには、elbをec2の上に配置する必要があります。そのため、クライアントからロードバランサーへのリクエストはhttpsで保護され、elbからec2 Webサーバーへのリクエストはhttpになります。
AWS ACM Certを内部目的のみに使用している場合、おそらくAWS ACM Private CAを使用して証明書を発行できます(ルートCAがパブリックに信頼されたCAである場合、パブリック/外部トラフィック目的にも使用できると思います)。
https://docs.aws.Amazon.com/acm-pca/latest/userguide/PcaGetStarted.html
Application/EC2/Containerの起動中に、ACMプライベートCAが発行したCert/Private Keyを宛先にエクスポートし、トラフィックを提供するためにそれを参照し始めるステップを設定します。
https://docs.aws.Amazon.com/cli/latest/reference/acm/export-certificate.html
1つの良い点は、IAMロールを使用して誰が証明書のエクスポート機能を呼び出すことができるかを制御できるため、誰もが証明書の秘密キーをダウンロードできないことです。
これの1つの欠点は、プライベートCAが高価なAWSサービス($ 400 /月)であるということです。