AWS Certificate ManagerでのSSL証明書更新漏れ対策について

2022.10.11

本記事のポイント

AWS Certificate Managerの機能を使えばSSL証明書を自動更新できることはご存知でしょうか。
本記事ではAWS Certificate ManagerでのSSL証明書自動更新方法やその他メリットと、自動更新ができない場合の更新漏れ対策についてご紹介致します。

はじめに

Web運用をしていく中で毎年憂鬱になるもの、そうSSL証明書の更新です。
「またこの季節が来たか。。。」と嘆いている方もたくさんいるのではないでしょうか。
しかも気付かないうちにSSL証明書の期限が切れていたら目も当てられません。

そこで今回は、SSL証明書の自動更新の方法と、自動更新の条件に当てはまらない場合の期限切れ対策についてご紹介します！

記事前半ではSSL証明書自動更新の方法を、後半では自動更新できない場合の対策をお伝えするので、是非じっくりとご覧ください。

AWS Certificate Manager（ACM）とは

まず、SSL証明書自動更新の際に利用するAWS Certificate Manager（以下、ACM）について簡単にお伝えします。

ACMとはAWS上で使用するSSL/TLS証明書の作成・管理を行うマネージドサービスです。
ACMを使えば、CSR（証明書リクエスト）の作成・認証依頼等の手間や時間がかかる作業を簡単に
しかも！パブリックなSSL/TLS証明書は無料で利用できます。

低コストで手間がかからないのでAWSユーザーはぜひ利用してみてください。

ACM利用によるメリット

ACM利用によるメリットは前述していますが要点はこちら

SSL証明書が無料
SSL証明書自動更新機能

ただし、これらの恩恵を堪能するためにはいくつか条件があります。

SSL証明書が無料

パブリック証明書に限ります。プライベート証明書が利用したい場合はプライベートCAを作成する必要があり　作成には料金が発生しますのでご注意ください。

SSL証明書自動更新機能

自動更新機能を有効にするためにはいくつかのポイントがあります。

1.証明書がAWSリソース（ELB、CloudFrontなど）に関連付けられていること
2.上記リソースがSSL/TLS接続できること
3.証明書に記載されているFQDNが名前解決できること

また、外部からインポートした証明書についても自動更新が行われませんのでご注意ください。

さらに、証明書をACMで作成する際に検証方法を「DNS検証」、「Eメール検証」から選択しますがEメール検証については注意が必要です。
特定のメールアドレスに対して認証URLが記載されたメールが送付され、そのURLをクリックすることで検証されるのですが、対象ドメインに対してパブリックからHTTPSアクセスできることが条件となります。
IP接続制限を行っている場合、上記条件より自動更新が失敗となり、手動で更新をしなければなりませんのでご注意ください。

設定後に自動更新の対象となっているかは、AWSコンソール上から確認出来ますので設定が完了したら確認してみましょう。

ネットワークの構成の条件によって、自動更新できないSSL証明書の期限切れ対策

前述した条件をクリア出来ない場合、SSL証明書を手動で更新しなければなりません。気付かないうちに証明書が期限切れとなっていた。。。なんてことにならないように以下のように対策することをおすすめします。

CloudWatchを使って、SSL証明書の期限を監視する

CloudWatchのメトリクス「DayToExpiry」にて証明書の期限を見ることができます。
すべてのメトリクスから「CertificateManager」→証明書メトリクスと進むと、作成した証明書が表示されます。
折れ線グラフでわかりづらい場合は「線」→「数値」に変更することで期限の日数を表示できます。