翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Application Load Balancer 用の HTTPS リスナーを作成する
<a name="create-https-listener"></a>

リスナーは、接続リクエストをチェックします。ロードバランサーを作成するときにリスナーを定義し、いつでもロードバランサーにリスナーを追加できます。

HTTPS リスナーを作成するには、ロードバランサーに [SSL サーバー証明書](https-listener-certificates.md)を少なくとも 1 つデプロイする必要があります。ロードバランサーはサーバー証明書を使用してフロントエンド接続を終了してから、ターゲットにリクエストを送信する前に、クライアントからのリクエストを復号します。また、クライアントとロードバランサー間の安全な接続をネゴシエートするために使用される[セキュリティポリシー](describe-ssl-policies.md)も指定する必要があります。

ロードバランサーが復号化せずに、暗号化されたトラフィックをターゲットに渡す必要がある場合は、ポート 443 で TCP リスナーを使用して Network Load Balancer または Classic Load Balancer を作成できます。TCP リスナーを使用すると、ロードバランサーは暗号化されたトラフィックを復号化せずにターゲットに渡します。

このページの情報は、ロードバランサー用の HTTPS リスナーを作成するのに役立ちます。ロードバランサーに HTTP リスナーを追加するには、[Application Load Balancer 用の HTTP リスナーを作成する](create-listener.md) を参照してください。

## 前提条件
<a name="https-listener-prereqs"></a>
+ 転送アクションをデフォルトのリスナールールに追加するには、利用可能なターゲットグループを指定する必要があります。詳細については、「[Application Load Balancer のターゲットグループを作成する](create-target-group.md)」を参照してください。
+ 複数のリスナーで同じターゲットグループを指定できますが、これらのリスナーは同じロードバランサーに属している必要があります。ロードバランサーでターゲットグループを使用するには、ターゲットグループが他のロードバランサーのリスナーによって使用されていないことを確認する必要があります。
+ Application Load Balancer は、ED25519 キーをサポートしていません。

## HTTPS リスナーの追加
<a name="add-https-listener"></a>

クライアントからロードバランサーへの接続用のプロトコルとポートを使用してリスナーを設定します。詳細については、「[リスナーの設定](load-balancer-listeners.md#listener-configuration)」を参照してください。

セキュアなリスナーを作成する場合は、セキュリティポリシーと証明書を指定する必要があります。証明書リストに証明書を追加するには、「[証明書リストに証明書を追加する](listener-update-certificates.md#add-certificates)」を参照してください。

リスナーのデフォルトルールを設定する必要があります。リスナーの作成後に、他のリスナールールを追加できます。詳細については、「[リスナールール](listener-rules.md)」を参照してください。

------
#### [ Console ]

**HTTPS リスナーを追加するには**

1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。

1. ナビゲーションペインで、[**ロードバランサー**] を選択します。

1. ロードバランサーを選択します。

1. **[リスナーとルール]** タブから、**[リスナーの追加]** を選択します。

1. [**プロトコル**] として [**HTTPS**] を選択します。デフォルトポートのままにすることも、別のポートを入力することもできます。

1. (オプション) **ルーティング前アクション**で、次のいずれかのアクションを選択します。
   + **ユーザーを認証**する – ID プロバイダーを選択し、必要な情報を入力します。詳細については、「[Application Load Balancer を使用してユーザーを認証する](listener-authenticate-users.md)」を参照してください。
   + **トークンの検証** – JWKS エンドポイント、問題、その他のクレームを入力します。詳細については、「[Application Load Balancer を使用して JWTs を検証する](listener-verify-jwt.md)」を参照してください。

1. **ルーティングアクション**では、次のいずれかのアクションを選択します。
   + **[ターゲットグループに転送]** - ターゲットグループを選択します。別のターゲットグループを追加するには、**[ターゲットグループの追加]** を選択し、ターゲットグループを選択して、相対重みを確認し、必要に応じて重みの更新を選択します。いずれかのターゲットグループに対して維持設定を有効にしている場合は、グループレベルの維持設定を有効にする必要があります。

     ニーズに合ったターゲットグループがない場合は、**[ターゲットグループの作成]** を選択して今すぐ作成します。詳細については、「[ターゲットグループの作成](create-target-group.md)」を参照してください。
   + **[Redirect to URL]** - 部分ごとに分けて **[URI 部分]** タブに入力するか、完全なアドレスを **[完全な URL]** タブに入力します。**[ステータスコード]** では、必要に応じて一時的 (HTTP 302) または恒久的 (HTTP 301) を選択します。
   + **[固定レスポンスを返す]** — ドロップされたクライアントリクエストに対して返される **[レスポンスコード]** を入力します。必要に応じて、**[コンテンツタイプ]** と **[レスポンス本文]** を指定できます。

1. **[セキュリティポリシー]** では、推奨されるセキュリティポリシーを選択します。必要に応じて、別のセキュリティポリシーを選択できます。

1. **[デフォルトの SSL/TLS 証明書]** で、デフォルトの証明書を選択します。また、デフォルトの証明書を SNI リストに追加します。次のいずれか、またはすべてのオプションを使用して証明書を選択できます。
   + **[ACM から]** – **[証明書 (ACM から)]** から証明書を選択します。これにより、 AWS Certificate Managerから利用可能な証明書が表示されます。
   + **IAM から** – インポートした証明書を表示する**証明書 (IAM から) **から証明書を選択します AWS Identity and Access Management。
   + **[証明書のインポート]** – 証明書の送信先、つまり **[ACM にインポート]** か、**[IAM にインポート]** のいずれかを選択します。**[証明書のプライベートキー]** については、PEM エンコードされたプライベートキーファイルの内容をコピーして貼り付けます。**[証明書本文]** では、PEM エンコードされたパブリックキー証明書ファイルの内容をコピーして貼り付けます。自己署名証明書を使用しておらず、ブラウザが暗黙的に証明書を受け入れることが重要である場合に限り、**[証明書チェーン]** に、PEM エンコードされた証明書チェーンファイルの内容をコピーして貼り付けます。

1. (オプション) 相互認証を有効にするには、**[クライアント証明書の処理]** で **[相互認証 (mTLS)]** を有効にします。

   デフォルトモードは **[パススルー]** です。**[トラストストアで検証]** を選択した場合
   + クライアント証明書が期限切れである接続は、デフォルトで拒否されます。この動作を変更するには、**[詳細な mTLS 設定]** を展開して、**[クライアント証明書の有効期限]** で **[期限切れのクライアント証明書を許可する]** を選択します。
   + **[トラストストア]** では、既存のトラストストアを選択するか、**[新しいトラストストア]** を選択して必要な情報を入力します。

1. (オプション) タグを追加するには、**[リスナータグ]** を展開します。**[新しいタグを追加]** を選択し、タグのキーとタグの値を入力します。

1. **[リスナーの追加]** を選択します。

------
#### [ AWS CLI ]

**HTTPS リスナーを作成するには**  
[create-listener](https://docs.aws.amazon.com/cli/latest/reference/elbv2/create-listener.html) コマンドを使用します。次の例では、トラフィックを指定されたターゲットグループに転送するデフォルトルールを持つ HTTPS リスナーを作成します。

```
aws elbv2 create-listener \
    --load-balancer-arn load-balancer-arn \
    --protocol HTTPS \
    --port 443 \
    --default-actions Type=forward,TargetGroupArn=target-group-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06 \
    --certificates certificate-arn
```

------
#### [ CloudFormation ]

**HTTPS リスナーを作成するには**  
[AWS::ElasticLoadBalancingV2::Listener](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-listener.html) タイプのリソースを定義します。次の例では、トラフィックを指定されたターゲットグループに転送するデフォルトルールを持つ HTTPS リスナーを作成します。

```
Resources:
  myHTTPSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties: 
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: HTTPS
      Port: 443
      DefaultActions:
        - Type: "forward"
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
      Certificates: 
        - CertificateArn: certificate-arn
```

------