投稿日: Sep 12, 2019

Network Load Balancer で、Server Name Indication (SNI) を使用した複数の TLS 証明書のサポートが始まりました。それぞれに独自の TLS 証明書がある複数のセキュアなアプリケーションを、単一のロードバランサーリスナーでホストできるようになります。これにより、SaaS アプリケーションやホスティングサービスを同じロードバランサーで実行できるので、サービスセキュリティ体制を向上させ、管理と運用を簡素化できます。

以前は、Network Load Balancer は TLS リスナーごとに 1 枚の証明書のみをサポートし、同じロードバランサーで複数のセキュアなアプリケーションをホストするために、ワイルドカードまたはマルチドメイン (SAN) 証明書を使用する必要がありました。ワイルドカードの証明書にはセキュリティ上のリスクがあり、マルチドメイン証明書を管理するための運用オーバーヘッドにも課題がありました。SNI のサポートにより、リスナーと複数の証明書を関連付けられるようになり、単一のロードバランサーで実行されているセキュアなアプリケーションそれぞれで、独自の証明書を使用できます。

Network Load Balancer は、SNI を使用したスマート証明書の選択アルゴリズムもサポートしています。クライアントによって示されたホスト名が複数の証明書と一致する場合、ロードバランサーで、クライアントの TLS 機能を含む複数の要因に基づいて、使用する最適な証明書を決定します。

証明書管理のため、SNI は AWS Certificate Manager (ACM)AWS Identity and Access Management (IAM) と統合されています。リスナーごとのデフォルトの証明書に加えて、ロードバランサーと証明書を 25 枚まで関連付けることができます。 

詳細については、Network Load Balancer のドキュメントの TLS 証明書セクションおよび SNI のデモを参照してください。