AWS で実行中のアプリケーションを AWS Certificate Manager (ACM) が発行した証明書に固定できますか?

最終更新日: 2020 年 9 月 10 日

AWS 上で実行中のアプリケーションがある場合、そのアプリケーションを AWS Certificate Manager (ACM) が発行した証明書に固定できますか?

簡単な説明

AWS は、ACM が発行した SSL/TLS 証明書にアプリケーションを固定することをお勧めしません。証明書をピン留めすると、ウェブサイトで使用しているパブリックキーの ID をブラウザに提供します。ユーザーがウェブサイトにアクセスすると、ピンはブラウザによってキャッシュされます。そのピンは、将来の訪問時にパブリックキーを検証するためにも使用します。ピン情報は通常、HTTP 応答のヘッダーとピンの有効期限 (TTL) に含まれています。証明書が更新されたときなど、証明書が変更された場合、その変更によってウェブサイトへの訪問者がエラーを受け取る可能性があります。このエラーは、ウェブサイトへの安全な接続を確立できないために発生します。詳細については、「証明書の固定」を参照してください。

解決方法

アプリケーションを証明書に固定する必要がある場合は、個々の証明書ではなく認証局 (CA) に固定することをお勧めします。アプリケーションを Amazon Trust Services CA に固定する場合は、必ず同じアプリケーションを Amazon Trust Services テーブルのすべての CA に固定してください。

注: アプリケーションを固定しているすべての CA を選択する必要があります。これは、証明書をリクエストしたときに、ACM が証明書の発行元を指定しないためです。

証明書を固定するには、次のいずれかのオプションを使用して、アプリケーションがドメインに接続できることを確認します。

アプリケーションを Amazon ルート証明書に固定する

アプリケーションをルート証明書レベルで固定すると、ACM の Amazon が発行する証明書のマネージド型更新が、証明書を発行したのと同じ CA の下で証明書を更新します。証明書の Amazon リソースネーム (ARN) は変わりません。アプリケーションをバックアップピンとして複数の CA に固定することもできます。証明書が期限切れになった場合は、新しい証明書をリクエストし、その証明書をロードバランサーに適用してアプリケーションのダウンタイムを削減できます。

自分の証明書を ACM にインポートしてから、インポートした証明書にアプリケーションを固定する

インポートした証明書は、ACM マネージド型更新プロセスでは更新されません。あなたが証明書とキーの更新を管理しなければなりません。詳細については、「AWS Certificate Manager への証明書のインポート」を参照してください。


この記事はお役に立ちましたか?


請求に関するサポートまたは技術的なサポートが必要ですか?