僕は発展途上技術者

無料でSSLが使える Amazon AWS Certificate Manager はまりどころ

Amazon Web Servicesの無料SSL/TLS証明書サービス「AWS Certificate Manager」が東京リージョンでも利用可能になったので、運用している Web サービスの「まちクエスト」と「モニュメント」の両方でSSLを導入しました。





ELB(Elastic Load Balancer)に設定するだけで楽勝だと思っていたのですが、なんやかんやいろいろはまったので書き留めておきます。

運用しているドメインに対して証明書の発行をリクエストすると、そのドメイン所有者として申請しているメールアドレスに確認のメールが送られてきます。そのメールに載っているリンクを踏まないとリクエストは完了しません。ところが「モニュメント」のドメインmonumen.toはトンガという国のドメインなのですが、ドメイン所有者のメールアドレスは伏せられている。「whois monumen.to」を実行してもほとんど何も表示されないのです。

調べてみると、所有者として登録しているメールアドレスの他に、そのドメインの頭にadmin@、administrator@、hostmaster@、webmaster@、およびpostmaster@を付けたメールにも確認メールが送られていることがわかったのですが、そのドメインではメールの送受信をできるようにしてはいませんでした。以前なら無料だったGoogle Appsを使うところなのですが、今は有料になってしまったので、独自ドメインでメールアドレスを発行できるサービスを探して見つけたのがZohoというサービス。これでサクッとwebmaster@monumen.toというメールアドレスを作り、確認メールを再送信したところ、無事届いて確認の手順を踏むことができました。



証明書を発行するとき、その証明書が有効となるドメインを指定するのですが、はじめ *.monumen.to のようにワイルドカードを使ったドメインだけを登録していました。

しかし、どうもうまく動かない。調べてみたらサブドメインのないmonumen.toも登録する必要があると知りました。

ワイルドカード付きも含めてドメインの数だけ証明書を発行し、証明書をひとつだけしか指定できないELBを証明書の数だけ立ち上げるのかと思ったのですが、証明書のAdditional namesという項目に追加のドメインを指定できることがわかりました。



結果的に発行する証明書はひとつだけで済み、対応するELBもひとつだけ起動すればいいことになりました。

いくつかはまる箇所はありましたが、自分で証明書発行の手続きをおこない、インスタンスに証明書を置いて使えるようにする作業よりは格段に簡単にSSLへの移行ができたと思います。

関連するブログ記事はこちらです↓

» まちクエストをSSL化しました

» モニュメントをSSL化しました

プロフィール

株式会社まちクエスト代表、つくる社LLC代表。

Raspberry Piではじめる どきどきプログラミングを書きました。

Amazonから図書館検索 Libron、iPhoneアプリ ひらがなゲーム かなぶん を作っています。

Twitter @jishiha

最近のエントリー

アーカイブ