翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Classic Load Balancer 用の SSL/TLS 証明書
<a name="ssl-server-cert"></a>

フロントエンドリスナーに HTTPS (SSL or TLS) を使用する場合、ロードバランサーに TLS/TLS 証明書をデプロイする必要があります。インスタンスにリクエストを送信する前に、ロードバランサーはこの証明書を使用して接続を終了し、クライアントからのリクエストを復号します。

SSL および TLS プロトコルは、X.509 証明書 (SSL/TLS サーバー証明書) を使用して、クライアントとバックエンドアプリケーションの両方を認証します。X.509 証明書は、認証機関 (CA) によって発行された IDENTITY デジタル フォームで、識別情報、有効期間、パブリックキー、シリアルナンバー、発行者のデジタル署名が含まれます。

証明書は、 AWS Certificate Manager または OpenSSL などの SSL および TLS プロトコルをサポートするツールを使用して作成できます。この証明書は、ロードバランサーの HTTPS リスナーを作成または更新するときに指定します。ロードバランサーで使用する証明書を作成するときに、ドメイン名を指定する必要があります。

ロードバランサーで使用する証明書を作成するときに、ドメイン名を指定する必要があります。証明書のドメイン名は、カスタムドメイン名レコードと一致する必要があります。一致しない場合、TLS 接続を確認できないため、トラフィックは暗号化されません。

`www.example.com` などの証明書の完全修飾ドメイン名 (FQDN) または `example.com` などのapex ドメイン名を指定する必要があります。また、同じドメインで複数のサイト名を保護するために、アスタリスク (\*) をワイルドカードとして使用できます。ワイルドカード証明書をリクエストする場合、アスタリスク (\*) はドメイン名の一番左の位置に付ける必要があり、1 つのサブドメインレベルのみを保護できます。例えば、`*.example.com` は `corp.example.com`、`images.example.com` を保護しますが、`test.login.example.com` を保護することはできません。また、`*.example.com` は `example.com` のサブドメインのみを保護し、ネイキッドドメインまたは apex ドメイン (`example.com`) は保護しないことに注意してください。ワイルドカード名は、証明書の [**件名**] フィールドと [**サブジェクト代替名**] 拡張子に表示されます。公開証明書の詳細については、AWS Certificate Manager ユーザーガイドの「[公開証明書](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html#request-public-console)」を参照してください。

## を使用して SSL/TLS 証明書を作成またはインポートする AWS Certificate Manager
<a name="create-certificate-acm"></a>

( AWS Certificate Manager ACM) を使用して、ロードバランサーの証明書を作成またはインポートすることをお勧めします。ACM は Elastic Load Balancing と統合して、ロードバランサーに証明書をデプロイできます。ロードバランサーに証明書をデプロイするには、証明書がロードバランサーと同じリージョンにある必要があります。詳細については、*AWS Certificate Manager ユーザーガイド*の[パブリック証明書のリクエスト](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html)または[証明書のインポート](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)を参照してください。

ユーザーが AWS マネジメントコンソールを使用して証明書をロードバランサーにデプロイするには、ACM `ListCertificates` API アクションへのアクセスを許可する必要があります。詳細については、*AWS Certificate Manager ユーザーガイド*の[証明書の一覧表示](https://docs.aws.amazon.com/acm/latest/userguide/security_iam_id-based-policy-examples.html#policy-list-certificates)を参照してください。

**重要**  
4096 ビット RSA キーまたは EC キーを使用する証明書を、ACM との統合を利用してロードバランサーにインストールすることはできません。4096 ビット RSA キーまたは EC キーを使用する証明書をロードバランサーで使用するには、IAM にアップロードする必要があります。

## IAM を使用する SSL/TLS 証明書のインポート
<a name="import-certificate-iam"></a>

ACM を使用していない場合は、OpenSSL などの SSL/TLS を使用して署名証明書リクエスト (CSR) を作成し、CA から CSR 署名を取得して証明書を発行し、IAM に証明書をアップロードすることができます。詳細については、*IAM ユーザーガイド* の [Working with server certificates](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html) を参照してください。