Amazon S3 証明書と Amazon CloudFront 証明書を Amazon Trust Services に移行することによってアプリケーションに影響が生じますか?

最終更新日: 2021 年 3 月 4 日

アプリケーションは、Amazon Simple Storage Service (Amazon S3) 証明書と Amazon CloudFront 証明書を Amazon Trust Services に移行することによって影響を受ける可能性があります。Amazon Trust Services 認証局 (CA) が自分の信頼ストアにあるかどうかを確認したいと考えています。

簡単な説明

2021 年 3 月 23 日より、AWS は Amazon S3 および CloudFront 用の Secure Sockets Layer/Transport Layer Security (SSL/TLS) CA を DigiCert から Amazon Trust Services に移行します。

次のシナリオのいずれかに一致するアプリケーショントラフィックは、この移行の影響を受けません。

  • HTTP トラフィック
  • カスタムドメインと証明書を使用した CloudFront への HTTPS トラフィック
  • S3 が証明書に Amazon Trust Services をすでに使用している AWS リージョンの S3 バケットへの HTTPS トラフィック (eu-west-3、eu-north-1、me-south-1、ap-northeast-3、ap-east-1、または us-gov-east-1)

解決方法

次のいずれかに該当する場合は、アプリケーションが Amazon Trust Services を CA として信頼していることを確認する必要があります。

  • 上記に記載されていないリージョンの S3 バケットに HTTPS トラフィックを直接送信する。
  • *.cloudfront.net でカバーされる CloudFront ドメインに HTTPS トラフィックを送信する。

他の AWS のサービスを使用している場合、アプリケーションは既に Amazon Trust Services を信頼している可能性があります。Amazon Elastic Compute Cloud (Amazon EC2) や Amazon DynamoDB など、多くの AWS のサービスは、既に CA を移行しています。

Amazon Trust Services によって発行された証明書は、ほとんどのウェブブラウザ、オペレーティングシステム、およびアプリケーションの信頼ストアに既に含まれています。移行を処理するために設定を更新する必要がない場合もありますが、例外もあります。カスタム証明書の信頼ストアを構築するか、証明書のピン留めを使用する場合は、設定の更新が必要になる場合があります。Amazon Trust Services が信頼ストアにない場合、ブラウザ (をご参照ください) とアプリケーションにエラーメッセージが表示されます。

Amazon Trust Services がお客様の信頼ストアに存在するかどうかを確認するには、Amazon S3 または CloudFront エンドポイントへの接続に使用しているシステムから以下のテストのいずれかを実行します。

  • このテスト URL からテストオブジェクトを取得します。 その後、200 応答を取得しているか、テストイメージに緑色のチェックマークが表示されていることを確認します。
  • eu-west-3、eu-north-1、me-south-1、ap-northeast-3、ap-east-1、または us-gov-east-1 のいずれかの AWS リージョンで Amazon S3 バケットを作成します。(これらのリージョンの S3 バケットでは、既に Amazon Trust Services の証明書が使用されています。) その後、HTTPS 経由でバケットからテストオブジェクトを取得します。

これらのテストのいずれかが成功した場合、クライアントは Amazon Trust Services に移行する準備が整っています。

Amazon Trust Services の 4 つのルート CA がトラストストアに含まれていることを確認するには、次の手順を実行します。

この移行では、アプリケーションが Amazon Trust Services のルート CA を直接信頼する必要はありません。アプリケーションが Starfield Services Root CA を信頼していれば十分です。Amazon S3 と CloudFront は、Starfield Service Root CA によってクロス署名された Amazon ルート CA を持つ証明書チェーンを提示します。

最初の 2 つのテストのいずれかが失敗した場合、Amazon Trust Services CA はお客様の信頼ストアに含まれていません。次のいずれかの操作を行って、Amazon Trust Services CA を含めるように信頼ストアを更新します。

  • オペレーティングシステムまたはウェブブラウザをアップグレードします。
  • カスタムドメイン名および独自の証明書で CloudFront を使用するように、アプリケーションを更新します。
  • アプリケーションでカスタム信頼ストアを使用している場合は、Amazon ルート CA をアプリケーションの信頼ストアに追加する必要があります。
  • 証明書のピン留めを使用して信頼する CA をロックダウンする場合は、Amazon Trust Services CA を含めるようにピン留めを調整する必要があります。
  • ほとんどの AWS SDK と AWS コマンドラインインターフェイス (AWS CLI) は、移行の影響を受けません。ただし、2013 年 10 月 29 日よりも前にリリースされた Python AWS SDK または AWS CLI のバージョンを使用している場合は、証明書をアップグレードする必要があります。
    注: AWS CLI コマンドの実行時にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください

この記事はお役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?