AWS Certificate ManagerでのSSL証明書更新漏れ対策について
2022.10.11
SHARE
本記事のポイント
AWS Certificate Managerの機能を使えばSSL証明書を自動更新できることはご存知でしょうか。
本記事ではAWS Certificate ManagerでのSSL証明書自動更新方法やその他メリットと、自動更新ができない場合の更新漏れ対策についてご紹介致します。
はじめに
Web運用をしていく中で毎年憂鬱になるもの、そうSSL証明書の更新です。 「またこの季節が来たか。。。」と嘆いている方もたくさんいるのではないでしょうか。 しかも気付かないうちにSSL証明書の期限が切れていたら目も当てられません。 そこで今回は、SSL証明書の自動更新の方法と、自動更新の条件に当てはまらない場合の期限切れ対策についてご紹介します! 記事前半ではSSL証明書自動更新の方法を、後半では自動更新できない場合の対策をお伝えするので、是非じっくりとご覧ください。AWS Certificate Manager(ACM)とは
まず、SSL証明書自動更新の際に利用するAWS Certificate Manager(以下、ACM)について簡単にお伝えします。
ACMとはAWS上で使用するSSL/TLS証明書の作成・管理を行うマネージドサービスです。
ACMを使えば、CSR(証明書リクエスト)の作成・認証依頼等の手間や時間がかかる作業を簡単に
しかも!パブリックなSSL/TLS証明書は無料で利用できます。
低コストで手間がかからないのでAWSユーザーはぜひ利用してみてください。
ACM利用によるメリット
ACM利用によるメリットは前述していますが要点はこちら- SSL証明書が無料
- SSL証明書自動更新機能
ただし、これらの恩恵を堪能するためにはいくつか条件があります。
SSL証明書が無料
パブリック証明書に限ります。プライベート証明書が利用したい場合はプライベートCAを作成する必要があり 作成には料金が発生しますのでご注意ください。SSL証明書自動更新機能
自動更新機能を有効にするためにはいくつかのポイントがあります。- 1.証明書がAWSリソース(ELB、CloudFrontなど)に関連付けられていること
- 2.上記リソースがSSL/TLS接続できること
- 3.証明書に記載されているFQDNが名前解決できること
ネットワークの構成の条件によって、自動更新できないSSL証明書の期限切れ対策
前述した条件をクリア出来ない場合、SSL証明書を手動で更新しなければなりません。気付かないうちに証明書が期限切れとなっていた。。。なんてことにならないように以下のように対策することをおすすめします。CloudWatchを使って、SSL証明書の期限を監視する
CloudWatchのメトリクス「DayToExpiry」にて証明書の期限を見ることができます。 すべてのメトリクスから「CertificateManager」→証明書メトリクスと進むと、作成した証明書が表示されます。 折れ線グラフでわかりづらい場合は「線」→「数値」に変更することで期限の日数を表示できます。
ここからアラート通知するよう設定していきます。
アクションのベルのマークをクリックして「アラームの作成」を実行します。
「メトリクスの条件の指定」にて期間を「1日」、条件の「より低い(<しきい値)」を選択して任意に日数を入力します。
「次へ」をクリックし、通知の設定へ進みます。
「新しいトピックの作成」を選択後、任意のトピック名の入力と通知を受け取るメールアドレスを設定し「トピックの作成」をクリックします。
AWSからサブスクリプションの確認メールが送られてきますのでメール本文内のURLをクリックすると登録が完了します。
後はアラーム名と説明を入力し、次画面で設定内容を確認後、問題無ければ「アラームの作成」をクリックするだけです。
設定した期限を過ぎるとメールで教えてくれるので、その時は忘れずに証明書を更新しましょう。
まとめ
今回は、ACMの機能によるSSL証明書の更新漏れ対策について簡単に記載させて頂きました。 みなさんもWeb運用しているとSSL証明書にまつわる苦い経験のひとつやふたつあるのではないでしょうか。 ぜひこの記事を参考にSSL証明書の自動更新を試してみてください。 今回のケースに当てはまらない・またもっと自由に証明書期限の監視をしたい。証明書更新もお願いしたい!ということであればぜひ弊社の監視サービスをご検討ください。
関連記事
TAG
タグ一覧へ