ELB SSL証明書設定

ELBにSSL証明書を設定する †

• 対象ELBの [Listeners] タブ→[Edit]をクリック
• [Add]をクリックし、以下の設定を追加する
  • Load Balancer Protocol: HTTPS
  • Load Balancer Port: 443
  • Instance Protocol: HTTP
  • Instance Port: 80 (アプリ側の設定によるので要確認)
• Load Balancer Protocol : HTTPS　を選択したとき、SSL Certificateに[Change]リンクができるのでこれをクリック

新規登録時 †

• 「Upload a new SSL Certificate」を選択して、以下に該当するファイルの内容をコピペする
  • Certificate Name : ドメイン
    • ※自己署名証明書のとき→ドメイン.Self-signed
  • Private Key : 秘密鍵
    • ※RSA 2048bit 以上で作成すること。
    • ヘッダー・フッターは以下になっていることを確認。

      -----BEGIN RSA PRIVATE KEY-----
      -----END RSA PRIVATE KEY-----

  • Public Key Certificate : 証明書（crtファイル）
    • ヘッダー・フッターは以下。

      -----BEGIN CERTIFICATE-----
      -----END CERTIFICATE-----

  • Certificate Chain : 中間証明書（crtファイル）
    • ヘッダー・フッターは以下。

      -----BEGIN CERTIFICATE-----
      -----END CERTIFICATE-----

登録済のものを設定する時 †

• 「Choose an existing SSL Certificate」を選択し、Certificate Nameから該当のものを選ぶ

ELBのSSL証明書を更新する †

• 新規登録時を同じ手順で、新しい証明書を登録する
  • Certificate Nameは既に登録されているものと同じ名前は登録できないので注意
  • 既存のセッションに対しての影響はない
    既存のセッションにおいて通信を継続しつつ、ELB の証明書を変更した場合でも、既存のセッションの通信は途切れる事なく継続される

    http://aws.typepad.com/sajp/2014/04/elb-ssl.html

• 不要になった証明書の削除はコマンドラインインターフェース（AWS CLI）からのみ可能
  • 登録可能な証明書は20件まで。超える場合は、上限緩和申請が必要
  • 現在の上限数の確認は、AWS CLIから行う

    aws iam get-account-summary

  • 上記コマンドで返却される"ServerCertificatesQuota?"の数が、上限数

    http://docs.aws.amazon.com/cli/latest/reference/iam/get-account-summary.html

AWS CLIからSSL証明書を削除・変更する †

• 登録済の証明書のリストを表示する

  aws iam list-server-certificates

• 証明書を削除する

  aws iam delete-server-certificate --server-certificate-name [削除する証明書の名前]

• 証明書の名前を変更する

  aws iam update-server-certificate --server-certificate-name [現在の名前] --new-server-certificate-name [新しい名前]