ロードバランサーまたは CloudFront ディストリビューション用にインポートした証明書が見つからないのはなぜですか?
最終更新日: 2020 年 9 月 24 日
AWS Certificate Manager (ACM) を使用して証明書をリクエストまたはインポートしました。ロードバランサーまたは Amazon CloudFront ディストリビューションを設定していますが、証明書が見つかりません。
簡単な説明
ドメイン名に対して発行された証明書がない場合は、ACM を使用してパブリック証明書をリクエストできます。ロードバランサーでサードパーティの証明書を使用するには、ACM に証明書をインポートするか、AWS Identity and Access Management (IAM) に証明書をアップロードします。
重要:
- ACM でサポートされていないリージョンで HTTPS 接続をサポートする必要がある場合にのみ、IAM を証明書マネージャーとして使用することをお勧めします。詳細については、「IAM でのサーバー証明書の管理」を参照してください。
- ACM 証明書は、ACM と統合されたサービスでのみ使用できます。
以下の場合、インポートされた証明書または ACM 証明書が見つからないことがあります。
- ACM にインポートされた証明書が、1024 ビット RSA または 2048 ビット RSA 以外のアルゴリズムを使用している。
- ACM 証明書が、ロードバランサーまたは CloudFront ディストリビューションと同じ AWS リージョンでリクエストされていない。
解決方法
ACM にインポートされた証明書が、1024 ビット RSA または 2048 ビット RSA 以外のアルゴリズムを使用している
ACM では、4096 ビット RSA および EC のキーアルゴリズムを使用して証明書をインポートできますが、これらの証明書は、ACM との統合によりロードバランサーに関連付けることはできません。以下のインポートされたキーアルゴリズムは、Classic Load Balancer および Application Load Balancer で使用できます。
アルゴリズム | ACM (推奨) | IAM |
1024 ビット RSA (RSA_1024) | はい | はい |
2048 ビット RSA (RSA_2048) | はい | はい |
RSA (最大 16384 ビット) | はい | |
楕円曲線 (ECDSA) | はい |
注意: Network Load Balancer では、2048 ビットまたは EC キーより大きい RSA キーを使用する証明書は許可されません。
SSL 証明書をインストールするには、ロードバランサーのタイプに応じて以下の手順に従います。
- Classic Load Balancer 用の HTTPS リスナーを設定する
- Application Load Balancer 用の HTTP リスナーを作成する
- Network Load Balancer 用のリスナーを作成する
インポートされた証明書が ACM でサポートされていない場合は、SSL 証明書を IAM にインポートの指示に従ってください。次に、インポートした証明書をロードバランサーに関連付けます。詳細については、サーバー証明書のアップロード (AWS API) を参照してください。
CloudFront ディストリビューションの場合、証明書のキーアルゴリズムは 1024 ビット RSA または 2048 ビット RSA である必要があります。詳細については、パブリックキーのサイズを参照してください。
SSL 証明書を CloudFront ディストリビューションにインストールするには、CloudFront で HTTPS を使用するを参照してください。
ACM 証明書が、ロードバランサーまたは CloudFront ディストリビューションと同じ AWS リージョンでリクエストされていなかった
ACM 証明書は、Classic Load Balancer または Application Load Balancer と同じ AWS リージョンでリクエストまたはインポートする必要があります。
Amazon CloudFront で ACM 証明書を使用するには、米国東部 (バージニア北部) リージョンで証明書をインポートまたはリクエストする必要があります。詳細については、証明書をリクエストする AWS リージョン (AWS Certificate Manager 用)を参照してください。