ロードバランサーまたは CloudFront ディストリビューション用にインポートした証明書が見つからないのはなぜですか?

最終更新日: 2022 年 7 月 14 日

AWS Certificate Manager (ACM) を使用して証明書をリクエストまたはインポートしました。ロードバランサーまたは Amazon CloudFront ディストリビューションを設定していますが、証明書が見つかりません。

簡単な説明

ドメイン名に対して発行された証明書がない場合は、ACM を使用してパブリック証明書をリクエストできます。ロードバランサーでサードパーティの証明書を使用するには、証明書を ACM にインポートするか、AWS Identity and Access Management (IAM) に証明書をアップロードします

重要:

  • ACM でサポートされていないリージョンで HTTPS 接続をサポートする必要がある場合は、IAM を証明書マネージャーとして使用することをお勧めします。詳細については、「IAM でのサーバー証明書の管理」を参照してください。
  • ACM 証明書は、ACM と統合されたサービスでのみ使用できます。

以下の場合、インポートされた証明書または ACM 証明書が見つからないことがあります:

  • ACM にインポートされた証明書は、ロードバランサーまたは CloudFront ディストリビューションでサポートされていないアルゴリズムを使用しています。
  • ACM 証明書は、ロードバランサーまたは CloudFront ディストリビューションと同じ AWS リージョンでリクエストされていません。

解決方法

ACM にインポートされた証明書は、ロードバランサーまたは CloudFront ディストリビューションでサポートされていないアルゴリズムを使用しています。

ACM では、4096 ビットの RSA および EC のキーアルゴリズムを使用した証明書を使用できますが、これらの証明書を ACM との統合によってすべてのロードバランサーに関連付けることはできません。以下のインポートされたキーアルゴリズムは、Classic Load Balancer および Application Load Balancer で使用できます:

アルゴリズム クラシック ACM (推奨) アプリケーション ACM (推奨) IAM
1024 ビット RSA (RSA_1024) はい はい
2048 ビット RSA (RSA_2048) はい はい
RSA_4096 はい
RSA (最大 16384 ビット) なし はい
楕円曲線 (ECDSA) なし

注意: Network Load Balancer では、2048 ビットまたは EC キーより大きい RSA キーを使用する証明書は許可されません。

SSL 証明書をインストールするには、ロードバランサーのタイプに応じて以下の手順に従います。

インポートされた証明書が ACM でサポートされていない場合は、指示に従ってIAMにSSL証明書をインポートしてください。次に、インポートした証明書をロードバランサーに関連付けます。詳細については、「サーバー証明書のアップロード (AWS API)」を参照してください。

CloudFront ディストリビューションの場合、証明書の主要なアルゴリズムは 1024 ビット RSA または 2048 ビット RSA である必要があります。詳細については、「パブリックキーのサイズ」を参照してください。

SSL 証明書を CloudFront ディストリビューションにインストールするには、CloudFront で HTTPS を使用するを参照してください。

ロードバランサーまたは CloudFront ディストリビューションと同じ AWS リージョンで ACM 証明書がリクエストされていません

ACM 証明書は、ロードバランサーと同じ AWS リージョンでリクエストまたはインポートする必要があります。

Amazon CloudFront で ACM 証明書を使用するには、証明書を米国東部 (バージニア北部) リージョンでインポートまたはリクエストする必要があります。詳細については、証明書をリクエストする AWS リージョン (AWS Certificate Manager 用)を参照してください。