Application Load Balancer TLSでの相互 の設定 - Elastic Load Balancing
トラストストアを作成するトラストストアを関連付けるトラストストアの詳細を表示するトラストストアを変更するトラストストアを削除する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Application Load Balancer TLSでの相互 の設定

このセクションでは、Application Load Balancer での認証に相互TLS検証モードを設定する手順について説明します。

相互TLSパススルーモードを使用するには、クライアントからの証明書を受け入れるようにリスナーを設定するだけで済みます。相互TLSパススルーを使用すると、Application Load Balancer はHTTPヘッダーを使用してクライアント証明書チェーン全体をターゲットに送信します。これにより、対応する認証および認可ロジックをアプリケーションに実装できます。詳細については、Application Load Balancer のHTTPSリスナーを作成する」を参照してください。

TLS 相互検証モードを使用する場合、Application Load Balancer は、ロードバランサーがTLS接続をネゴシエートするときに、クライアントの X.509 クライアント証明書認証を実行します。

相互TLS検証モードを使用するには、以下を実行します。

  • 新しいトラストストアリソースを作成する。

  • 認証局 (CA) バンドルと、オプションで失効リストをアップロードする。

  • クライアント証明書を検証するように設定されたリスナーにトラストストアをアタッチする。

このセクションの手順に従って、 の Application Load Balancer で相互TLS検証モードを設定します AWS Management Console。コンソールの代わりに APIオペレーションTLSを使用して相互を設定するには、Application Load Balancer APIリファレンスガイドを参照してください。

トラストストアを作成する

トラストストアを作成するには次の 3 つの方法があります。Application Load Balancer を作成するときに作成する、安全なリスナーを作成するときに作成する、トラストストアのコンソールを使用して作成する、です。ロードバランサーまたはリスナーを作成するときにトラストストアを追加すると、トラストストアは自動的に新しいリスナーに関連付けられます。トラストストアのコンソールを使用してトラストストアを作成するときは、自分でリスナーに関連付ける必要があります。

このセクションではトラストストアのコンソールを使用してトラストストアを作成する方法について説明しますが、Application Load Balancer またはリスナーの作成時に作成する方法と、手順は同じです。詳細については、「ロードバランサーとリスナーを設定する」およびHTTPS「リスナーを作成する」を参照してください。

前提条件:

  • トラストストアを作成するには、認証局 (CA) の証明書バンドルが必要です。

コンソールを使用してトラストストアを作成するには

  1. で Amazon EC2コンソールを開きますhttps://console.aws.amazon.com/ec2/

  2. ナビゲーションペインで [トラストストア] を選択します。

  3. [トラストストアを作成] を選択します。

  4. [トラストストアの設定]

    1. [トラストストアの名前] に、トラストストアの名前を入力します。

    2. [認証局バンドル] に、トラストストアで使用する CA 証明書バンドルへの、Amazon S3 パスを入力します。

      オプション: 以前のバージョンの CA 証明書バンドルを選択するときは [オブジェクトバージョン] を使用します。選択しなければ現在のバージョンが使用されます。

  5. [失効] のでは、証明書失効リストをトラストストアに追加できます (オプション)。

    1. [証明書失効リスト] に、トラストストアで使用する証明書失効リストへの、Amazon S3 パスを入力します。

      オプション: 以前のバージョンの証明書失効リストを選択するときは [オブジェクトバージョン] を使用します。選択しなければ現在のバージョンが使用されます。

  6. [トラストストアのタグ] には、トラストストアに適用するタグを最大 50 個まで入力できます。

  7. [トラストストアを作成] を選択します。

トラストストアを関連付ける

トラストストアを作成したらこれをリスナーに関連付け、Application Load Balancer がトラストストアの使用を開始できるようにします。各セキュアリスナーに関連付けることができるトラストストアは 1 つのみですが、1 つのトラストストアは複数のリスナーに関連付けることができます。

このセクションでは、トラストストアを既存のリスナーに関連付ける方法について説明します。トラストストアは、Application Load Balancer またはリスナーの作成中に関連付けることもできます。詳細については、「ロードバランサーとリスナーを設定する」およびHTTPS「リスナーを作成する」を参照してください。

コンソールを使用してトラストストアを関連付けるには

  1. で Amazon EC2コンソールを開きますhttps://console.aws.amazon.com/ec2/

  2. ナビゲーションペインで、[ロードバランサー] を選択します。

  3. ロードバランサーを選択して、その詳細ページを表示します。

  4. [リスナーとルール] タブで [Protocol:Port] 列のリンクをクリックし、セキュアリスナーの詳細ページを開きます。

  5. [セキュリティ] タブで [セキュアリスナーの設定を編集] を選択します。

  6. (オプション) 相互 TLSが有効になっていない場合は、クライアント証明書処理相互認証 (mTLS) を選択し、信頼ストアで検証を選択します。

  7. [トラストストア] で作成したトラストストアを選択します。

  8. [Save changes] (変更の保存) をクリックします。

トラストストアの詳細を表示する

CA 証明書のバンドル

CA 証明書バンドルはトラストストアの必須コンポーネントです。認証機関が検証した、信頼できるルート証明書と中間証明書で構成されています。検証済みのこれらの証明書により、クライアントは、提示された証明書がロードバランサーによって所有されているものであることを確認できます。

CA 証明書バンドルの中身はお使いのトラストストアで随時確認できます。

CA 証明書バンドルを表示する

コンソールを使用して CA 証明書を表示するには

  1. で Amazon EC2コンソールを開きますhttps://console.aws.amazon.com/ec2/

  2. ナビゲーションペインで [トラストストア] を選択します。

  3. トラストストアを選択して詳細ページを表示します。

  4. [アクション] を選択し [CA バンドルを取得] を選択します。

  5. [共有リンク] または [ダウンロード] を選択します。

証明書失効リスト

必要に応じてトラストストアの証明書失効リストを作成できます。失効リストは認証機関が発行するもので、失効した証明書のデータが含まれています。Application Load Balancer は、 PEM形式の証明書失効リストのみをサポートします。

証明書失効リストがトラストストアに追加されると、リストに失効 ID が付与されます。失効リストは、トラストストアに追加されたすべての失効リストに対してIDs引き上げられ、変更することはできません。証明書失効リストがトラストストアから削除された場合、その失効 ID も削除されてそのトラストストアの存続中は再利用されません。

注記

Application Load Balancer は、証明書失効リストでシリアル番号がマイナスになっている証明書を取り消すことはできません。

証明書失効リストを表示する

コンソールを使用して失効リストを表示するには

  1. で Amazon EC2コンソールを開きますhttps://console.aws.amazon.com/ec2/

  2. ナビゲーションペインで [トラストストア] を選択します。

  3. トラストストアを選択して詳細ページを表示します。

  4. [証明書失効リスト] タブで [アクション] を選択し、[失効リストを取得] を選択します。

  5. [共有リンク] または [ダウンロード] を選択します。

トラストストアを変更する

トラストストアに含めることのできる CA 証明書バンドルは一度に 1 つのみですが、トラストストアを作成した後は、随時 CA 証明書バンドルを置き換えることができます。

CA 証明書バンドルを置き換える

コンソールを使用して CA 証明書バンドルを置き換えるには

  1. で Amazon EC2コンソールを開きますhttps://console.aws.amazon.com/ec2/

  2. ナビゲーションペインで [トラストストア] を選択します。

  3. トラストストアを選択して詳細ページを表示します。

  4. [アクション] を選択し [CA バンドルを置き換える] を選択します。

  5. [CA バンドルを置き換える] ページの [認証局バンドル] で、目的の CA バンドルの、Amazon S3 でのロケーションを入力します。

  6. (オプション) 以前のバージョンの証明書失効リストを選択するときは [オブジェクトバージョン] を使用します。選択しなければ現在のバージョンが使用されます。

  7. [CA バンドルを置き換える] を選択します。

証明書失効リストを追加する

コンソールを使用して失効リストを追加するには

  1. で Amazon EC2コンソールを開きますhttps://console.aws.amazon.com/ec2/

  2. ナビゲーションペインで [トラストストア] を選択します。

  3. トラストストアを選択して詳細ページを表示します。

  4. [証明書失効リスト] タブで [アクション] を選択し、[失効リストを追加] を選択します。

  5. [失効リストを追加] ページの [証明書失効リスト] に、目的の証明書失効リストの、Amazon S3 でのロケーションを入力します。

  6. (オプション) 以前のバージョンの証明書失効リストを選択するときは [オブジェクトバージョン] を使用します。選択しなければ現在のバージョンが使用されます。

  7. [失効リストを追加] を選択します。

証明書失効リストを削除する

コンソールを使用して失効リストを削除するには

  1. で Amazon EC2コンソールを開きますhttps://console.aws.amazon.com/ec2/

  2. ナビゲーションペインで [トラストストア] を選択します。

  3. トラストストアを選択して詳細ページを表示します。

  4. [証明書失効リスト] タブで [アクション] を選択し、[失効リストを削除] を選択します。

  5. confirm と入力して削除を確定します。

  6. [削除] を選択します。

トラストストアを削除する

トラストストアとして使用する必要がなくなったときは、これを削除できます。

注: 現在リスナーに関連付けられているトラストストアは削除できません。

コンソールを使用してトラストストアを削除するには

  1. で Amazon EC2コンソールを開きますhttps://console.aws.amazon.com/ec2/

  2. ナビゲーションペインで [トラストストア] を選択します。

  3. トラストストアを選択して詳細ページを表示します。

  4. [アクション] を選択し、[トラストストアを削除] を選択します。

  5. confirm と入力して削除を確定します。

  6. [削除] を選択します。