にほんブログ村
前回に引き続き、今回も暗号化に関する記事です。
インターネット通信に、暗号化は必須となりました。サーバーとのやり取りの暗号化、そのアクセス先のサーバーの信頼性を確認するために、サーバー証明書が使われています。
その際に利用されるプロトコルが、SSL (Secure Sockets Layer) / TLS (Transport Layer Security) となります。
そこで使用される証明書は、SSL 証明書と呼ばれます。実際に使用されているのは、SSL 3.0 をベースにした後継のプロトコルであるTLSとなります。
SSL 証明書の種類と役割
証明書は、主に以下の2つのために使用されます。
- 通信経路での安全性の確保
- 通信している相手が誰であるかの証明
通信経路の安全性の確保は、通信内容を盗聴されない様にすることと、通信内容を改ざんされない様にすることのために使用されます。
通信している相手が誰であるかの証明には、証明局(CA: Certification Authority)を使用し、ここで証明書を発行・管理します。
証明書の種類
証明書には、以下の 4 種類があります。
- 自己証明書:自分で証明局を建てて証明書を発行
- ドメイン証明(DV):ドメインの所有のみを証明し、組織情報の証明はされない
- 組織証明(OV):組織情報を証明
- 拡張認証(EV):OV よりも厳しい審査で認証し、アドレスバーに組織名が表示される
Vは「Validation」の略で、DV = Domain Validation、OV = Organization Validation、EV = Extended Validationになります。それぞれのもう少し細かい説明は、ここのページが参考になります。
AWS Certificate Manager
AWS Certification Manager (以下、ACM)は、AWS が証明局となり、DV 証明書を発行するサービスです。
2048ビットRSA鍵と、SHA-256 の SSL/TLS サーバー証明書の「作成と管理」を行います。ACM が発行する証明書の有効期限は13ヶ月となり、自動で更新するという設定も可能となります。
ACM を利用できる対象は、AWS のサービスのみとなりますが、無料で使用できるというメリットがあります。
ACM の初期設定時には、ドメインの所有の確認が必要で、メール送信、またはDNS を利用して確認します。
ACM が利用可能なサービス(2020年9月現在)
- Elastic Load Balancer (ELB)
- Amazon CloudFront
- AWS Elastic Beanstalk
- Amazon API Gateway
AMC を使ってみる
AWS 管理コンソールの検索テキストボックスに「Certificate Manager」と入力し、Certificate Manager をクリックします。
証明書の管理画面が表示されます。
「証明書のリクエスト」をクリックします。
証明書のリクエスト画面が表示されます。
今回は、EC2 上に稼働させている Web サーバー向けに証明書を発行したいと思います。「パブリック証明書のリクエスト」を選択します。
画面下部の「署名書のリクエスト」をクリックして、次へ進みます。
対象となるドメイン名の指定です。
ドメイン名のところに、EC2 上で稼働させている Web サーバーで使用しているドメイン名を入力します。
画面下部の「次へ」をクリックして、次へ進みます。
証明書の確認方法の選択です。
今回は、自分が管理している Web サーバーで、DNS の方も管理していますので、「DNS の確証」を使います。
画面下部の「次へ」をクリックして、次へ進みます。
タグの設定です。
後から分かりやすい様に、名前を付けておきます。
最終確認です。
今まで設定した内容を確認し、間違いがなければ、画面下部の「確証とリクエスト」をクリックします。
証明書が発行されました。
「DNS の設定をファイルにエクスポート」をクリックし、ファイルをダウンロードしておきます。
画面下部の「続行」をクリックします。
証明書は発行されたのですが、確証状態のところが、「確証保留中」になっています。証明書はまだ使えない状態です。
先ほどダウンロードしたファイルの内容を、DNS (AWS ならRoute 53) 側に設定します。
しばらく時間がかかりますが、確証が完了すると、確証状態が「成功」に変わります。これで、証明書が使える状態になりました。
ちなみにこの記事を表示している Web サーバーも EC2 上にあり、Route 53 やACM を使用しています。
この教材を使って勉強してます。
「AWS認定資格試験テキスト AWS認定ソリューションアーキテクト-アソシエイト」
 | AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ] 価格:2,618円 |
| AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]価格:2,618円 (2020/8/30 16:09時点) 感想(0件) |
- AWSを学ぶ(25)VPCエンドポイントを理解しよう
- MS Azure を学ぶ (0) 用語比較
- パケットキャプチャーからサーバー証明書を抜き出す方法
- オンライン証明書作成ツール
- AWS を学ぶ(24)3つのメッセージングサービス
- AWS を学ぶ(23)CloudFormation を使ってみる
- AWS を学ぶ(22)CloudFormation とは何か?
- AWS を学ぶ(21)Elastic Beanstalk って何だろう?
- AWS を学ぶ(20)AWS Certificate Manager を使ってみる
- AWS を学ぶ(19)AWS の暗号化サービス
- AWS を学ぶ(18)CloudFront を使ってみる
- AWS を学ぶ(17)CloudWatch を使ってみる
- AWSを学ぶ(16)IAMについて
- AWSを学ぶ(15)Glacier とは何か?どの様に使うのか?
- AWSを学ぶ(14)S3とは
- AWSを学ぶ(13)VPC、EC2、ELB、Route 53 を使ってみる
- AWSを学ぶ(12)EC2のイメージ取得と起動
- AWSを学ぶ(11)ストレージサービス
- AWSを学ぶ(10)RDSとは
- AWSを学ぶ(9)ELB を使ってみよう
- AWSを学ぶ(8)CloudFront って何だろう
- AWSを学ぶ(7)Route 53 について
- AWSを学ぶ(6)EC2 を使ってみよう
- AWSを学ぶ(5)EC2の性能とコストの考え方
- AWSを学ぶ(4)EC2を理解しよう
関連する記事:
- Udemy を自動翻訳する方法
- MacOS の Time Machine がうざいので設定を変えたい
- BanBackup でバックアップの自動化
- Raspberry Pi 4 でサイト間 VPN を作ってみよう
- 超小型 Bluetooth スピーカー EWA A106
- カラアゲニスト・パーフェクトガイド(唐揚検定)
- 任天堂 ゲーム&ウォッチ
- Raspberry pi 4 バックアップ・リストア
- Apple AirTag を買ってみた
- Raspberry Pi 4 で Windows 10 を動かす
最近の記事:
- 列島を凍り付かせた未成年たちの凶行5~ 1988年・名古屋アベック殺人事件~第五話
- 列島を凍り付かせた未成年たちの凶行4~ 1988年・名古屋アベック殺人事件~第四話
- 列島を凍り付かせた未成年たちの凶行3~ 1988年・名古屋アベック殺人事件~第三話
- 列島を凍り付かせた未成年たちの凶行2~ 1988年・名古屋アベック殺人事件~第二話
- 列島を凍り付かせた未成年たちの凶行~ 1988年・名古屋アベック殺人事件~ 第一話
- 最近の推し新人アーティスト
- 1990年・ドラクエ Ⅳ 放火事件 ~ドラクエ熱で焼けた家~
- 目指せ!暴力団構成員 ~1973年・現役ヤクザが熱血指導!~ “暴力団組員養成塾”
- Linux で iSCSI イニシエーター設定 (Ubuntu 編)
- 1954年・日光参道で修学旅行生同士が乱闘 ~広島県立山陽高校vs.青森市立第一高校~
