Anath は
ロードバランサーのために SSL 証明書を
アップロードする方法について説明します
Classic Load Balancer への SSL/TLS 接続が、以下のようなエラーメッセージが表示されて失敗します。
- 「このウェブサイトから提示された証明書は信頼された認証機関から発行されたものではありません。」
- 「example.com は無効なセキュリティ証明書を使用しています。発行者証明書が不明のため、証明書は信頼されません。」
- 「example.com は無効なセキュリティ証明書を使用しています。自己署名証明書のため、証明書は信頼されません。」
加えて、Classic Load Balancer に SSL/TLS 証明書をアップロードしようとする際にも、エラーが表示されることがあります。
Classic Load Balancer で HTTPS/SSL リスナー を使用する場合、Classic Load Balancer が SSL/TLS クライアント接続の終端となれるように、SSL 証明書をインストールする必要があります。
SSL 証明書には有効期間があります。証明書は、有効期間が終了する前に差し替える必要があります。証明書を差し替えるには、新しい証明書を作成し、アップロードする必要があります。
中間証明書チェーンが、ロードバランサーで使用できるようにアップロードされていなかった場合には、ウェブクライアントが証明書の検証に失敗します。中間証明書チェーンがこの ELB の IAM サービスに正しくアップロードされているかどうかを識別するには、openssl s_client コマンドを使用できます。s_client コマンドには、SSL/TLS を使用してリモートホストに接続する、一般的な SSL/TLS クライアントが実装されています。openssl s_client -showcerts -connect www.domain.com:443 コマンドが "Verify return code: 21 (unable to verify the first certificate)" という応答を返した場合、中間証明書チェーンが存在しないことを示しています。
そうではなく、openssl s_client -showcerts -connect www.domain.com:443 コマンドが "Verify return code: 0 (ok)” という応答を返した場合、証明書が正常にアップロードされていることを示しています。
SSL 証明書のアップロードの際に生じるエラーは、通常、以下のカテゴリのいずれかに分類されます。
- よけいな空白がある証明書ファイルをアップロードした、またはそのような証明書をコピーして貼り付けた。
- 「-----BEGIN CERTIFICATE-----」で始まらず「-----END CERTIFICATE-----」で終わらない証明書ファイルをアップロードした、またはそのような証明書をコピーして貼り付けた。
- 無効なパブリックキーエラー。
- 無効なプライベートキーエラー。
- 暗号化方式 / キーの問題。
ロードバランサーへの SSL/TLS 接続を実行するクライアントでの「信頼できない証明書」エラーを解決するには、「Elastic Load Balancing の SSL 証明書」で説明されているように、ロードバランサーで使用する SSL 証明書をアップロードします。また、「ロードバランサーの SSL 証明書の更新」で説明されているように、証明書は有効期限が切れる前に差し替える必要があります。
AWS Certificate Manager (ACM) では、SSL/TLS 証明書の作成、インポート、管理が行えます。AWS Identity and Access Management (IAM) は、サーバー証明書のインポートとデプロイをサポートしています。ACM は、サーバー証明書のプロビジョニング、管理、展開のための推奨ツールです。
問題を解決するには、署名のサーバー証明書を ACM または IAM にアップロードします。
SSL 証明書のアップロード時に発生したエラーをトラブルシューティングするには、以下のガイドラインに従ってください。
- 「署名サーバー証明書を IAM にアップロードするには」および「証明書インポートの前提条件」で説明されている、署名サーバー証明書のアップロードに必要な要件すべてに従っていることを確認します。
- 証明書によけいな空白が含まれていないことを確認します。
- 証明書が「-----BEGIN CERTIFICATE-----」で始まり、「-----END CERTIFICATE-----」で終わっていることを確認します。
- パブリックキー証明書が無効であるというエラーメッセージが表示された場合は、パブリックキー証明書または証明書チェーンが無効である可能性があります。証明書チェーンを除いて、証明書のアップロードが正常に完了していた場合には、証明書チェーンが無効です。それ以外の場合には、パブリックキー証明書が無効です。
パブリックキー証明書が無効の場合
- パブリックキー証明書が X.509 PEM 形式であることを確認します。有効な証明書形式の例については、「証明書のサンプル」を参照してください。
証明書のチェーンが無効の場合
- 証明書チェーンにパブリックキー証明書が含まれていないことを確認します。
- 証明書チェーンの順序が正しいことを確認します。証明書チェーンには、認証機関 (CA) から始まり、ルート証明書に至る、すべての中間証明書が含まれていなければなりません。証明書チェーンは CA が作成した証明書から始まり、CA のルート証明書で終わる必要があります。通常、中間証明書もルート証明書も、適切な順番に並べられたバンドルファイルとして CA によって提供されます。CA によって提供された中間証明書を使用します。信頼パスのチェーンに含まれていない中間証明書を含めてはいけません。
- プライベートキー証明書が無効であるというエラーが返された場合は、プライベートキー証明書の形式が間違っているか、プライベートキー証明書が暗号化されている可能性があります。プライベートキー証明書が「証明書のサンプル」にあるプライベートキーの例の形式に従っていること、またプライベートキー証明書がパスワードで保護されていないことを確認してください。署名サーバー証明書に対する要件は、「IAM に署名サーバー証明書をアップロードする」および「証明書インポートの前提条件」で説明されています。