proxmox.blog

ACMの証明書発行や検証作業をプログラムやコマンドラインから自動化できる。大規模運用で大量のドメインを管理するときにも、スクリプトを書いて自動手順にすれば楽々運用が可能になる。

自分で別の認証局から買った証明書をACMに取り込み、ELBなどで使うこともできる。どうしても独自のブランド証明書を使いたい場合もこれでOK。上限数はあるが管理が同じ画面にまとめられるんだ。

証明書が正しく発行されているか公開ログで確認できる仕組み。もし悪意ある人が勝手に自分のドメインの証明書を発行したらログに載っちゃう。偽証明書を見つけて対処できるのでセキュリティが向上するよ。

RSAやECCなど様々な暗号アルゴリズムを選んで証明書を作れる。ECCはRSAよりキーサイズが小さくても安全性が高いとされるから、パフォーマンス重視ならECCを選ぶなど好みに合わせられるんだ。

“*.example.com”のように、サブドメイン全部をカバーする証明書を発行できる。たとえば“www.example.com”も“api.example.com”もまとめて1枚で対応可能。サブドメインをたくさん使う人に便利。

1枚の証明書に“example.com”と“example.org”など複数ドメインをまとめられる仕組み。いくつも証明書を発行しなくていいから管理が楽だし、複数サイトを一度にHTTPS化したいときにもいいんだ。

CloudFrontなど一部のサービスは米国東部(バージニア北部)リージョンの証明書しか使えない場合がある。ACMでそのリージョンに証明書を発行しておけば、世界中にCDNを展開しても大丈夫。

APIを安全に公開するにはHTTPSが必須だけど、ACMの証明書を割り当てれば簡単に設定できる。独自ドメインのAPIも証明書が無料＆自動更新だから、セキュリティと手軽さが両立するんだ。

グローバル配信にもHTTPSをかけるなら、ACMの証明書をCloudFrontに紐づけるだけ。独自ドメインを使ってSSL対応CDNを作るのも簡単だし、有効期限の管理も不要で運用がスムーズ。

ロードバランサー(ELB)にHTTPSを設定するとき、ACM発行の証明書を選べばすぐに安全通信が有効になる。更新も自動でやってくれるから、証明書の手動アップロードが要らないのがすごく楽。