にほんブログ村
前回に引き続き、今回も暗号化に関する記事です。
インターネット通信に、暗号化は必須となりました。サーバーとのやり取りの暗号化、そのアクセス先のサーバーの信頼性を確認するために、サーバー証明書が使われています。
その際に利用されるプロトコルが、SSL (Secure Sockets Layer) / TLS (Transport Layer Security) となります。
そこで使用される証明書は、SSL 証明書と呼ばれます。実際に使用されているのは、SSL 3.0 をベースにした後継のプロトコルであるTLSとなります。
SSL 証明書の種類と役割
証明書は、主に以下の2つのために使用されます。
- 通信経路での安全性の確保
- 通信している相手が誰であるかの証明
通信経路の安全性の確保は、通信内容を盗聴されない様にすることと、通信内容を改ざんされない様にすることのために使用されます。
通信している相手が誰であるかの証明には、証明局(CA: Certification Authority)を使用し、ここで証明書を発行・管理します。
証明書の種類
証明書には、以下の 4 種類があります。
- 自己証明書:自分で証明局を建てて証明書を発行
- ドメイン証明(DV):ドメインの所有のみを証明し、組織情報の証明はされない
- 組織証明(OV):組織情報を証明
- 拡張認証(EV):OV よりも厳しい審査で認証し、アドレスバーに組織名が表示される
Vは「Validation」の略で、DV = Domain Validation、OV = Organization Validation、EV = Extended Validationになります。それぞれのもう少し細かい説明は、ここのページが参考になります。
AWS Certificate Manager
AWS Certification Manager (以下、ACM)は、AWS が証明局となり、DV 証明書を発行するサービスです。
2048ビットRSA鍵と、SHA-256 の SSL/TLS サーバー証明書の「作成と管理」を行います。ACM が発行する証明書の有効期限は13ヶ月となり、自動で更新するという設定も可能となります。
ACM を利用できる対象は、AWS のサービスのみとなりますが、無料で使用できるというメリットがあります。
ACM の初期設定時には、ドメインの所有の確認が必要で、メール送信、またはDNS を利用して確認します。
ACM が利用可能なサービス(2020年9月現在)
- Elastic Load Balancer (ELB)
- Amazon CloudFront
- AWS Elastic Beanstalk
- Amazon API Gateway
AMC を使ってみる
AWS 管理コンソールの検索テキストボックスに「Certificate Manager」と入力し、Certificate Manager をクリックします。
証明書の管理画面が表示されます。
「証明書のリクエスト」をクリックします。
証明書のリクエスト画面が表示されます。
今回は、EC2 上に稼働させている Web サーバー向けに証明書を発行したいと思います。「パブリック証明書のリクエスト」を選択します。
画面下部の「署名書のリクエスト」をクリックして、次へ進みます。
対象となるドメイン名の指定です。
ドメイン名のところに、EC2 上で稼働させている Web サーバーで使用しているドメイン名を入力します。
画面下部の「次へ」をクリックして、次へ進みます。
証明書の確認方法の選択です。
今回は、自分が管理している Web サーバーで、DNS の方も管理していますので、「DNS の確証」を使います。
画面下部の「次へ」をクリックして、次へ進みます。
タグの設定です。
後から分かりやすい様に、名前を付けておきます。
最終確認です。
今まで設定した内容を確認し、間違いがなければ、画面下部の「確証とリクエスト」をクリックします。
証明書が発行されました。
「DNS の設定をファイルにエクスポート」をクリックし、ファイルをダウンロードしておきます。
画面下部の「続行」をクリックします。
証明書は発行されたのですが、確証状態のところが、「確証保留中」になっています。証明書はまだ使えない状態です。
先ほどダウンロードしたファイルの内容を、DNS (AWS ならRoute 53) 側に設定します。
しばらく時間がかかりますが、確証が完了すると、確証状態が「成功」に変わります。これで、証明書が使える状態になりました。
ちなみにこの記事を表示している Web サーバーも EC2 上にあり、Route 53 やACM を使用しています。
この教材を使って勉強してます。
「AWS認定資格試験テキスト AWS認定ソリューションアーキテクト-アソシエイト」
 | AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ] 価格:2,618円 |
| AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]価格:2,618円 (2020/8/30 16:09時点) 感想(0件) |
- AWSを学ぶ(25)VPCエンドポイントを理解しよう
- MS Azure を学ぶ (0) 用語比較
- SSL証明書を簡単に取得する方法 – Wiresharkで証明書を抽出
- オンラインで簡単に証明書を発行する方法
- AWS を学ぶ(24)3つのメッセージングサービス
- AWS を学ぶ(23)CloudFormation を使ってみる
- AWS を学ぶ(22)CloudFormation とは何か?
- AWS を学ぶ(21)Elastic Beanstalk って何だろう?
- AWS を学ぶ(20)AWS Certificate Manager を使ってみる
- AWS を学ぶ(19)AWS の暗号化サービス
- AWS を学ぶ(18)CloudFront を使ってみる
- AWS を学ぶ(17)CloudWatch を使ってみる
- AWSを学ぶ(16)IAMについて
- AWSを学ぶ(15)Glacier とは何か?どの様に使うのか?
- AWSを学ぶ(14)S3とは
- AWSを学ぶ(13)VPC、EC2、ELB、Route 53 を使ってみる
- AWSを学ぶ(12)EC2のイメージ取得と起動
- AWSを学ぶ(11)ストレージサービス
- AWSを学ぶ(10)RDSとは
- AWSを学ぶ(9)ELB を使ってみよう
- AWSを学ぶ(8)CloudFront って何だろう
- AWSを学ぶ(7)Route 53 について
- AWSを学ぶ(6)EC2 を使ってみよう
- AWSを学ぶ(5)EC2の性能とコストの考え方
- AWSを学ぶ(4)EC2を理解しよう
関連する記事:
- Raspberry PiでのPi-Hole設定ガイド
- Video CC TranslatorでUdemyを快適に学ぶ
- TimeMachineEditorでMacバックアップを最適化する方法
- BanBackup でバックアップの自動化
- Raspberry Pi 4 でサイト間 VPN を作ってみよう
- 超小型 Bluetooth スピーカー EWA A106
- カラアゲニスト・パーフェクトガイド(唐揚検定)
- 任天堂 ゲーム&ウォッチ – マリオゲームで懐かしさを再体験
- Raspberry pi 4 バックアップ・リストア
- Apple AirTag を買ってみた
最近の記事:
- 複数の宛先に ping を打つことができる「fping」
- ネイティブの英語 7 “A cup of joe”
- 死刑確定囚・野比のび太 – 第二十三話・昇華するのび太の鬱屈
- 死刑確定囚・野比のび太 – 第二十二話・静の怒りと武の苛立ち
- 死刑確定囚・野比のび太 – 第二十一話・夫婦間の亀裂とのび太の影響
- 死刑確定囚・野比のび太 – 第二十話・のび太の初出勤: 恐れと葛藤
- 死刑確定囚・野比のび太 – 第十九話・ジャイアンとのび太の絆
- 死刑確定囚・野比のび太 – 第十八話・引きこもりの息子と家族のジレンマ
- 死刑確定囚・野比のび太 – 第十七話・ドラえもんと30歳ののび太の葛藤
- 死刑確定囚・野比のび太 – 第十六話・剛田商店の成長と静香の貢献
