ACM(AWS Certificate Manager) †

• AWS Certificate Manager（SSL/TLS 証明書を無料で作成） | AWS

• 記事
  • [小ネタ] ACM の「追加の検証要求」が何ものか調べてみたら、Alexa Rank が関係しているらしかった ｜ DevelopersIO
  • AWS Certificate Manager (ACM)にインポートしたSSL/TLS証明書の更新方法について ｜ Developers.IO
  • AWS 上で利用している SSL/TLS 証明書を一括管理するツール aws-cert-utils を作った話 - Kaizen Platform 開発者ブログ

• メリット
  • [AMAZON_ISSUED] 自動更新してくれる。無料
  • [IMPORTED] iamを変更する権限が不用。PowerUserでもSSL証明書を更新できる。
  • [IMPORTED] 同アカウント、同リージョンの場合、SSL証明書更新時に参照している全てのリソースが更新される。iamにuploadしているSSL証明書は、ELB毎に切り替える必要があったので更新漏れが出る。

• 注意点
  • ACMで発行した場合、SSL証明書をエクスポートできないため、apache/nginx等に設定する事はできない。ELB/ALB等に使う用途向け
  • 既存のSSL証明書をインポートする事はできる。
  • 既存のSSL証明書をARN指定して再インポートする事で、同ARNを指定しているELB, ALB側は無変更で新しいSSL証明書に切り替わる。
  • us-east-1のACMしか使えないリソースがある。api-gateway, cloudfront等
  • Q: 複数の AWS リージョンで同じ ACM 証明書を使用できますか?
    • > 証明書を異なるリージョンにある同じサイト (完全修飾ドメイン名、つまり 1 つまたは一連の FQDN が同じ) に対して Elastic Load Balancing とともに使用する場合、使用するリージョンごとに新しい証明書をリクエストすることが必要になります。
  • 他のAWSアカウントから参照する事は可能か？

トラブルシューティング †

Validation recordは重複する †

• ACMは各リージョン毎に設定するが、同じドメインのSSL証明書をACMで発行すると、DNSに登録するValidation recordが重複する。一つあれば良いようだ。
• コードで管理する時に、同名のRoute53 recordが存在するとエラーになる。そのため、route53 recordに登録する/しないを選択するフラグが必要になる。

• 記事
  • 【小ネタ】ACM 同じドメイン名のパブリック証明書のDNS検証レコードは同一だった(異なるAWSアカウントは除く) | Developers.IO

Private CA †

• 有料: 毎月400 USD と高い

• 記事
  • ACMでプライベートCAを作成して証明書を発行してみた – サーバーワークスエンジニアブログ

AWSのROOT CAが使えるかの検証 †

• Amazon Trust Services Repository
  • 検証用URLが提示されているので、ブラウザ等で確認できる。

• 記事
  • AWSの自社認証局への移行に備える方法 | Amazon Web Services ブログ

aws-cert-utils: SSL証明書の一括管理 †

昔はIAMにSSL証明書をアップロードしていたが、今はACMを使う事が推奨されている。

• tkuchiki/aws-cert-utils: Certificate Utility for AWS(ACM, IAM, ALB, CLB, CloudFront)

• 記事
  • AWS上に導入したSSL/TLSサーバ証明書のリソース確認に便利なツール「aws-cert-utils」 ｜ DevelopersIO

awscliでの更新 †

• awscli v2.0.0だとSSL証明書のインポートに失敗するので、「fileb://」を指定する。v1でもこの指定は使える

• 初回登録時

  SSL_CERT=example.com
  AWS_PROFILE=example
  AWS_REGION=ap-northeast-1
  aws acm import-certificate \
    --private-key fileb://${SSL_CERT}.key \
    --certificate fileb://${SSL_CERT}.body.crt \
    --certificate-chain fileb://${SSL_CERT}.chain.crt \
    --region $AWS_REGION \
    --profile $AWS_PROFILE
  
  {
      "CertificateArn": "arn:aws:acm:ap-northeast-1:1234567890:certificate/xxxx-xxxx-xxxx-xxxx-xxxx"
  }

• SSL証明書更新時は 「--certificate-arn $ARN」で既存ARN指定する事で更新される。この場合、同じARNを使用しているELB,ALB側は変更なしで更新される。
  • 「最大40分かかる」との記載がある

• opensslコマンドでの有効期限確認

  ENDPOINT=www.example.com:443
  DAYS=30
  openssl s_client -showcerts -connect $ENDPOINT -servername $ENDPOINT < /dev/null 2>&1 | openssl x509 -checkend $(( 86400 * $DAYS )) -enddate
  
  notAfter=Nov 28 12:00:00 2018 GMT
  Certificate will not expire

• API gateway
  • ACM にインポートされた証明書を更新 「プロセスが終了するには約40分かかります」と記載がある。
  • 既存ARNに対して更新した場合、CloudFrontにキャッシュされているようで、opensslコマンドで確認できるまでに2時間以上かかった。

ワイルドカードSSL証明書 †

• パブリック証明書のリクエスト - AWS Certificate Manager

• *.example.comで申請すると、「example.com」は保護されない
• *.example.comとexample.comをAdditional namesで同時に申請する事ができる。
• CLBには1ポート(tcp/443)に一つのSSL証明書しか設定できない。
• ALBはSNI対応しているので、同一ポートに異なるSSL証明書を設定できる。

• awscliの場合

  aws acm request-certificate \
   --domain-name "*.example.com" \
   --subject-alternative-names example.com \
   --domain-validation-options "DomainName=*.example.com,ValidationDomain=example.com" \
   --profile example \
   --region ap-northeast-1

• 記事
  • AWS Certificate Manager(ACM)でワイルドカード証明書を発行する際の注意事項 – サーバーワークスエンジニアブログ