AWSにおけるSSL証明書の基本的な取扱い

多くの企業が、今年中にWebサービスの暗号化を進めなくてはいけなくなったかと思います。

  • Webに接続するiOSアプリは2017年1月からHTTPSの使用が絶対条件になる、デベロッパーはご注意を | TechCrunch Japan

  • ということで、基本的な内容ではありますが、AWSにおけるSSL証明書の扱いについて復習してみます。



    AWSで扱う証明書の種類

    ここでいう種類とは、EV SSL だの ワイルドカードだの、証明書の製品としての種類ではありません。

    1つは AWS Certificate Manager(以下、ACM)の無償証明書、もう1つは従来のSSLサーバ証明書販売サイトで購入する有償証明書、の2種類となります。

    それぞれの証明書を、AWSのリソースにどのように登録し、運用していくかについてまとめていきます。


    ACMの証明書を利用する

    2016年1月にリリースされ、5月にはTokyoリージョンにもきてくれたACMは、CloudFront・ELB/ALBで利用することができます。対象リソースが限られているとはいえ、無償ですし、更新も自動ですし、ワイルドカードにも対応しているしで、使わない理由は全くありません。

    証明書の作成

    使い方は簡単で、普通にACM管理画面でドメイン情報を入力することで作成し、そのドメインの管理者E-mailアドレスに送られてくるURLをポチるだけで証明書を有効化できます。APIも対応していますが、どうせURL承認があるのであんまり使わなさそうです。

    ワイルドカードの証明書にしたいならば、example.com をメインに入力しつつ *.example.com を2つ目に入れればよいでしょう。問題なく cdn.example.com などを利用することができます。

    CloudFrontに登録

    ACMの証明書をCloudFrontで利用する場合、証明書が us-east-1 リージョンに登録されている必要があります。東京(ap-northeast-1)に登録していても、管理画面ではACM証明書が選べないようになっています。が、すぐ横に注意書きで書いてあるので気づくことができます。

    Terraform 0.7.0 からは aws_cloudfront_distribution でCloudFront を作成できるようになったので、ACM管理画面から ARN をコピペしてきてこのように acm_certificate_arn に直書きして作ればよいと思います。


    ELB/ALBに登録

    ELB/ALB で管理画面の場合は、リスナー項目で 443(HTTPS) を追加すると、登録済みのACM証明書から選択するだけなので簡単です。ただし、CloudFront は us-east-1 の証明書だったのに対し、ELB/ALB が ap-northeast-1 ならばACMも ap-northeast-1 で登録していなくては選択肢に出てきません。

    そのため、CloudFrontと両方使いたい場合は、2つのリージョンに同じドメインで登録しておかなくてはならないので、最初だけですが若干面倒といえば面倒です。

    Terraform でやる場合……これからは、もうELB(クラシックロードバランサー)を使うことは少ないでしょうから、ALBの例にしておきましょう。CloudFront 同様、ACMのARNをTerraform のコードに埋め込んで利用します。

    ELBの時は aws_autoscaling_group の load_balancers で直接ELBにぶら下げる感じでしたが、ALBでは target_group_arns が間に入る使い方になりました。


    有償証明書を利用する

    メインのサーバーは他のパブリッククラウドなどに置くけどCloudFrontは使いたい、とか、Webサーバーで直にHTTPSで受けたい、とかいう場合にワイルドカードの証明書を購入してあるから、AWSでもその有償証明書を使いたい、ということはあるかもしれません。(それでも、CloudFront・ALB だけでも更新の手間を省略できる分、ACMにしてしまったほうがいいと思いますが、政治的な理由があるかもですしね)

    その場合は、細かいことはズバッと抜いていきますが、SSL証明書の機能と費用、そして証明書提供会社の知名度などから購入場所を決めて購入します。

    購入の際には、Linuxなど適当な場所で サーバー鍵(秘密鍵)と CSR (Certificate Signing Request) を生成し、CSRを送りつけて、もろもろ処理を完了することで、証明書 と 中間証明書 を受け取ることができます。

    受け取ったら、どのファイルが何だかわからなくならないよう、整理しておきます。私の場合はこんな感じのファイル名にしています。なんでもいいですが、少なくとも社内で統一しておいた方が幸せです。

    CSRcsr.pem
    サーバー鍵key.pem
    証明書cert.pem
    中間証明書ca.pem
    AWSで利用するには、管理画面でALB作成の際などに登録できるのですが、基本は API で登録することになります。CloudFront で利用する場合は、–path /cloudfront/ オプションが必要なので注意しましょう。


    しかしやはり、Terraform で管理した方が、ファイルの管理場所にも困らなくなるのでオススメです。更新時にややこしくならないよう、ディレクトリなどに年代を付けておくとよいですね。lifecycle:ignore_changes をつけているのは、何故かterrafromさんが certificate_chain が変わっていないのに何度も上書き更新しようとするからです……


    CloudFrontに登録

    管理画面の場合は、作成の際にACMとIAMから選べるので、IAMから登録済み証明書を選択するだけになります。

    Terraformの場合は、ACMと違うのは acm_certificate_arn が iam_certificate_id になるだけです。SSLと関係ないですが、ここの例では Origin をS3ではなく、外部コンテンツの書き方にしています。


    証明書の動作確認

    ここは極普通のWebサービスの運用的な話ですが、CloudFront なり ELB/ALB のドメイン名がわかったら、CNAMEレコードを登録しに行きます。

    ドメインを取得したサイト内のDNSサービスや、権限を移譲した先のDNSサービスにて、必要なゾーン(example.com)を作成し、CNAMEレコード(ex: cdn.example.com = abcdefg012345.cloudfront.net)を登録します。

    登録したら数分待って──Linuxならば host cdn.example.com コマンドで名前解決できることを確認します。

    名前解決できたら、ブラウザで https://cdn.example.com にアクセスしてみます。コンテンツがないとエラーHTTPステータスコードが返りますが、構いません。URL欄の頭にある錠マークから証明書のオールグリーンと有効期間を確認できればOKです。


    証明書の更新

    証明書の期限が切れてしまうと、クライアントにエラーが出てしまうので、切れる前に入れ替える必要があります。

    ACMの場合

    今更ですが、利用するなら よくある質問 – AWS Certificate Manager をちゃんと読んでおいた方がよいです。早い場合、期限の60日前から自動的に更新してくれるという恐るべき便利さなのですが、それだけに更新通知は行われない(可能性が高い)と思っておいたほうがよさげです。

    まぁ、この辺はAWSを信用するしかないのですが、これまで少なからずSSL証明書を扱ってきた身としては、完全放置するのも気持ち悪いというか、何かあった時に、ここが原因かもしれないことを認識したいというのもあり、こんな Lambda監視 を入れてみました。
  • 60, 30, 10, 3, 1日前になったらSNSへメッセージを送る
  • 0日 = 更新当日 になったら同上
  • Lambdaを実行するリージョンと、CloudFront用にus-east-1 をチェックする
  • 一日一回実行して、該当の日になったら、こんなメールがくる感じです。これが発動するのはまだだいぶ先の話ですが、だいたい何日前に更新されるかが把握できますし、もし3日前とか切ったらAWSサポートに対してアクションするとかできますゆえ。

    まだ出来たてのサービスなので、更新後はブラウザでの有効期限確認くらいはやっておきたいところです。とはいえ、数年後には放置安定が当たり前になっていくのでは、とも思います。

    有償証明書の場合

    従来のこちらは更新というよりは、新規に同様の内容で取得し直し、入れ替える感じです。

    新規に鍵・証明書一式を整理したら、IAMに年代を新しくした別名で登録し、CloudFrontやALBで選択リストで変更するだけです。Terraformでやる場合も、別名で新規登録した上で、指定名を変更して更新し、確認するだけです。

    期限切れについては、購入時のE-mailアドレスに通知がくるのが普通ですが、ウチの場合はZabbixで直接 https:// のURLにアクセス監視して、一定期間内になったらアラートが飛ぶようにもしています。


    HTTPからHTTPSへの切り替え

    CloudFront

    稼働中のHTTPサービスをHTTPSに切り替える場合、できるだけ安全に切り替えたいと思うはずです。

    CloudFront の場合、HTTP から HTTPS に変更したり、HTTPS (*.cloudfront.net) から HTTPS (cdn.example.com) へドメインを変更したい場合、はたまた HTTPS only にすることもあるでしょう。

    多くの場合、アプリケーションが生成するURLを http:// から https:// へ、*.cloudfront.net から cdn.example.com などの変更が伴いますので、CloudFront の変更と同時に行うというのは、あまり筋が良いとはいえません。

    まずは既存のCloudFrontの設定変更で安定していけるのか、それとも新規にCloudFrontを作成し、該当ドメインでのHTTPSの動作確認まで完了させた上で、任意のタイミングでDNSレコードの変更やアプリケーションのデプロイをする方が安定するのか、を案件ごとに考えます。CloudFrontはしょせんCDNなので、焦ったり楽な方に逃げる必要はありません。一手一手が安全である道を選びましょう。

    ELB/ALB

    バランサはリスナーが80番だけならば、単に443番を追加するだけであり、80番で待機しているバックエンドのWebサーバーには何も影響ありません。443番のHTTPSで問題なくアクセスできることを確認した上で、URLを https:// に変更したアプリケーションをデプロイするだけになります。

    また、もしEC2のWebサーバーで直接443番を受けてSSL処理をしている場合、ACMができたことを受けて、有償証明書からACMへ切り替えたほうが手間も費用も少なくなってよいでしょう。ALBを挟むことにはなりますが、証明書の値段に比べたらALBの費用など、おそらく格段に安くすむからです。

    その場合は、Webサーバーで443番をそのままに80番でも受けれるようにリロードし、ALB経由の https:// → EC2:80番アクセスを確認した上で、DNSのAレコードをCNAMEにしてALBに向けることで完了します。



    まとめると、ACM 万歳\(^o^)/ ってことですな。

    一昔前までは、SSL証明書の購入から導入、更新までがインフラエンジニアの1つの仕事だったのに、これからは無償だし数回ポチるだけで放置安定だしで、どんどん食いっぱぐれないか不安になっちゃう今日このごろですよ、と;-)