翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Application Load Balancer の SSL 証明書
Application Load Balancer のセキュアリスナーを作成するときは、ロードバランサーに少なくとも 1 つの証明書をデプロイする必要があります。ロードバランサーには X.509 証明書 (SSL/TLS サーバー証明書) が必要です。証明書とは、認証機関 (CA) によって発行された識別用デジタル形式です。証明書には、認識用情報、有効期間、パブリックキー、シリアル番号と発行者のデジタル署名が含まれます。
ロードバランサーで使用する証明書を作成するときに、ドメイン名を指定する必要があります。TLS 接続を検証できるように、証明書のドメイン名は、カスタムドメイン名レコードと一致する必要があります。一致しない場合、トラフィックは暗号化されません。
`www.example.com` などの証明書の完全修飾ドメイン名 (FQDN) または `example.com` などの apex ドメイン名を指定する必要があります。また、同じドメインで複数のサイト名を保護するために、アスタリスク (\$1) をワイルドカードとして使用できます。ワイルドカード証明書をリクエストする場合、アスタリスク (\$1) はドメイン名の一番左の位置に付ける必要があり、1 つのサブドメインレベルのみを保護できます。例えば、`*.example.com` は `corp.example.com`、`images.example.com` を保護しますが、`test.login.example.com` を保護することはできません。また、`*.example.com` は、`example.com` のサブドメインのみを保護し、ネイキッドドメインまたは apex ドメイン (`example.com`) は保護しないことに注意してください。ワイルドカード名は、証明書の **[サブジェクト]** フィールドと **[サブジェクト代替名]** 拡張子に表示されます。公開証明書の詳細については、*AWS Certificate Manager ユーザーガイド*の「[公開証明書のリクエスト](https://docs.aws.amazon.com/acm/latest/userguide/acm-public-certificates.html)」を参照してください。
[AWS Certificate Manager (ACM)](https://aws.amazon.com/certificate-manager/) を使用して、ロードバランサーの証明書を作成することをお勧めします。ACM は、2048 ビット、3072 ビット、4096 ビットのキー長の RSA 証明書およびすべての ECDSA 証明書をサポートします。ACM は Elastic Load Balancing と統合して、ロードバランサーに証明書をデプロイできます。詳細については、「[AWS Certificate Manager ユーザーガイド](https://docs.aws.amazon.com/acm/latest/userguide/)」を参照してください。
または、SSL/TLS ツールを使用して証明書署名リクエスト (CSR) を作成し、CA によって署名された CSR を取得して証明書を生成し、証明書を ACM にインポートするか、証明書を AWS Identity and Access Management (IAM) にアップロードすることもできます。ACM への証明書のインポートに関する詳細については、 『*AWS Certificate Manager ユーザーガイド*』の「[Importing Certificates](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)」 を参照してください。IAM への証明書のアップロードに関する詳細については、*IAM ユーザーガイド*の「[IAM でのサーバー証明書の管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)」を参照してください。
## デフォルトの証明書
HTTPS リスナーを作成するには、厳密に 1 つの証明書を指定する必要があります。この証明書は、*default certificate* として知られています。HTTPS リスナーを作成した後、デフォルトの証明書を置き換えることができます。詳細については、「[デフォルトの証明書の置き換え](listener-update-certificates.md#replace-default-certificate)」を参照してください。
[証明書のリスト](#sni-certificate-list)内の追加の証明書を指定する場合、クライアントがホスト名を指定するために Server Name Indication (SNI) プロトコルを使用せずに接続した場合、または証明書リストに一致する証明書がない場合にのみデフォルトの証明書が使用されます。
追加の証明書を指定せずに単一のロードバランサーを介して複数の安全なアプリケーションをホストする必要がある場合は、ワイルドカード証明書を使用するか、または追加ドメインごとにサブジェクト代替名 (SAN) を証明書に追加できます。
## 証明書リスト
HTTPS リスナーを作成したら、証明書リストに証明書を追加できます。を使用してリスナーを作成した場合 AWS マネジメントコンソール、デフォルトの証明書が証明書リストに追加されました。それ以外の場合、証明書リストは空です。証明書リストを使用すると、ロードバランサーは同じポートで複数のドメインをサポートし、ドメインごとに異なる証明書を提供できます。詳細については、「[証明書リストに証明書を追加する](listener-update-certificates.md#add-certificates)」を参照してください。
ロードバランサーは、SNI をサポートするスマート証明書の選択アルゴリズムを使用します。クライアントから提供されたホスト名が証明書リスト内の単一の証明書と一致する場合、ロードバランサーはこの証明書を選択します。クライアントが提供するホスト名が証明書リストの複数の証明書と一致する場合、ロードバランサーはクライアントがサポートできる最適な証明書を選択します。証明書の選択は、次の条件と順序に基づいて行われます。
+ パブリックキーアルゴリズム (RSA よりも ECDSA が優先)
+ 有効期限 (有効期限なしが望ましい)
+ ハッシュアルゴリズム (MD5 よりも SHA が優先) 複数の SHA 証明書がある場合は、SHA 番号が最も大きい証明書を選択します。
+ キーの長さ (最大が優先)
+ 有効期間
ロードバランサーアクセスログエントリは、クライアントが指定したホスト名とクライアントが提出する証明書を示します。詳細については、「[アクセスログのエントリ](load-balancer-access-logs.md#access-log-entry-format)」を参照してください。
## 証明書の更新
各証明書には有効期間が記載されています。有効期間が終了する前に、必ずロードバランサーの各証明書を更新するか、置き換える必要があります。これには、デフォルトの証明書と証明書リスト内の証明書が含まれます。証明書を更新または置き換えしても、ロードバランサーノードが受信し、正常なターゲットへのルーティングを保留中の未処理のリクエストには影響しません。証明書更新後、新しいリクエストは更新された証明書を使用します。証明書置き換え後、新しいリクエストは新しい証明書を使用します。
証明書の更新と置き換えは次のとおりに管理できます。
+ によって提供され AWS Certificate Manager 、ロードバランサーにデプロイされた証明書は、自動的に更新できます。ACM は、期限切れになる前に証明書の更新を試みます。詳細については、AWS Certificate Manager ユーザーガイドの [管理された更新](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) を参照してください。
+ 証明書を ACM にインポートした場合は、証明書の有効期限をモニタリングし、期限切れ前に更新する必要があります。詳細については、AWS Certificate Manager ユーザーガイドの [証明書のインポート](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) を参照してください。
+ IAM に証明書をインポートする場合、新しい証明書を作成し、この新しい証明書を ACM あるいは IAM にインポートします。ロードバランサーにこの新しい証明書を追加し、期限切れの証明書をロードバランサーから削除します。