‹ 概要 に戻る

Lightsail における SSL/TLS 証明書

tl;dr

Amazon Lightsail では SSL/TLS 証明書を使用して、Lightsail ロードバランサー、コンテンツ配信ネットワーク (CDN) ディストリビューション、コンテナサービスで使用できるカスタム (登録済み) ドメインを検証します。検証済みの証明書がそれらのいずれかに添付されかの Lightsail リソースに添付された後、ドメインを介してそのリソースにルーティングされるトラフィックは、ハイパーテキスト転送プロトコルセキュア (HTTPS) を使用して暗号化されています。

最終更新日: 2022 年 11 月 1 日

Lightsail ロードバランサーコンテンツ配信ネットワークディストリビューションおよびコンテナサービスで使用したいカスタム (登録済み) ドメイン用に暗号化されたウェブトラフィックを有効にするには、Amazon Lightsail に Transport Layer Security (TLS) 証明書を作成します。TLS は、Secure Socket Layer (SSL) の更新された、より安全なバージョンです。この Lightsail ドキュメントおよびコンソールを通じて、これらの証明書は SSL/TLS と呼ばれています。

注意

ロードバランサー、CDN ディストリビューション、およびコンテナサービスに添付できる Lightsail 証明書は、AWS Certificate Manager (ACM) サービスによって発行されます。2022 年 10 月 11 日以降、ロードバランサーの場合、CDN ディストリビューションとコンテナサービスのために Lightsail で取得した公的証明書は、ACM が管理する複数の中間認証局 (ICA) または下位 CA のいずれかから発行されます。詳細については、「AWS セキュリティブログ」の「Amazon introduces dynamic intermediate certificate authorities」(Amazon が動的中間認証局を導入) を参照してください。

HTTPS を使用する理由

何よりも優先されるのはセキュリティです。HTTPS では、TLS を使用してデータが移動される、セキュリティの追加レイヤーが実現します。HTTPS 暗号化では、ウェブサーバーとクライアントのブラウザだけがトラフィックを復号化できるエンティティであるため、それらの間では内容が秘密に保たれます。HTTPS 接続では、クライアントがサーバーと交換するデータを別の当事者が変更できないため、HTTPS も安全です。

前述のセキュリティ上の利点を除き、HTTP に加えて HTTPS を使用する他の理由があります。たとえば、2014 年に Google は検索結果において安全なウェブサイトを上位にランク付けし始めました。つまり、HTTPS を使用するサイトは、HTTP しか使用していないサイト (他のすべては同じ) と比較して検索結果の上位にランク付けされます。

ランキングシグナルとしての HTTPS の詳細

プロセスの概要

Lightsail 証明書を使用するプロセスは簡単です。これには、次のステップが含まれます。

  1. ロードバランサー、CDN ディストリビューション、コンテナサービスなど、Lightsail 証明書を使用できる Lightsail リソースを作成します。

  2. Lightsail を使用してドメインの証明書を作成します。

  3. ドメインの DNS に正規名 (CNME) レコードを追加して証明書を検証します

  4. Lightsail リソースに検証済みの証明書を添付します。

  5. ドメインのDNSを変更して、Lightsail リソースにトラフィックをルーティングします。

HTTPS プロセスの概要

証明書がリソースに添付された後、ドメインを介してそのリソースにルーティングされるトラフィックは、HTTPS を使用して暗号化されます。

Lightsail ディストリビューションおよびコンテナサービスを使用した SSL/TLS 証明書を使用する

Lightsail ディストリビューションおよびコンテナサービスには HTTPS が必要です。これらのリソースのいずれかを作成すると、HTTPS はデフォルトで、リソースのデフォルトドメインに有効化されます (例: https://123456abcdef.cloudfront.net/ はディストリビューション用、https://container-service-1.123456abcdef.us-west-2.cs.amazonlightsail.com/ はコンテナサービス用)。ユーザーのディストリビューションまたはコンテナサービスで登録済みのドメイン名 (例: example.com) を使用する場合は、Lightsail SSL/TLS 証明書を作成し、ドメイン名で検証し、ユーザーのリソースでカスタムドメインを有効にする必要があります。ディストリビューションまたはコンテナサービスでカスタムドメインを有効にすると、ドメインの検証済み証明書もリソースに添付されます。

ディストリビューションでカスタムドメインと HTTPS を有効化するには、次のリンクをクリックします。

ディストリビューションの詳細については、「Amazon Lightsail の コンテンツ配信ネットワークディストリビューション」を参照してください。

コンテナサービスでカスタムドメインと HTTPS を有効化するには、次のリンクをクリックします。

コンテナサービスの詳細については、「Amazon Lightsail のコンテナサービス」を参照してください。

Lightsail ロードバランサーでの SSL/TLS 証明書の使用

Lightsail ロードバランサーを作成すると、通常の HTTP トラフィックを処理するために、デフォルトでポート 80 が開きます。ポート 443 で HTTPS トラフィックを有効にするには、SSL/TLS 証明書を作成し、ドメイン名で検証し、ロードバランサーに添付する必要があります。

ロードバランサーあたり最大 2 つの SSL/TLS 証明書を作成できます。ロードバランサーごとに、一度に 1 つの証明書のみ使用できます。有効な使用中の証明書をロードバランサーから削除した場合、そのロードバランサーは、別の有効な証明書を添付するまで、指定されたドメインの HTTPS トラフィックを処理できなくなります。

ロードバランサ―で HTTPS の使用を開始するには、次のリンクをクリックします。

ロードバランサーの詳細については、「Amazon Lightsail ロードバランサー」を参照してください。