Q&A
知りたいこと
- Amazon Certificate Manager(ACM)で発行したSSLサーバ証明書は、
本番環境での利用に適しているのでしょうか? - 他社の皆様はSSLサーバ証明書の更新対応はどのようにして行っているのでしょうか?
現状
- SSLサーバ証明書の更新対象は、コモンネーム数で言うと20弱存在している
- うち10程度はワイルドカード証明書を昨年導入
- 更新時期になると、他証明書への切り替え検討、発行申請、各サーバへの適用等の作業で多くの時間を割かなければならない状況
環境
- オンプレ2割 クラウド(AWS、レンタルサーバ)8割くらい
- オンプレはESXiを用いた仮想環境
その他
検証用ドメイン等は、弊社でもACM発行の証明書を適用しており、
自動更新等のメリットがあることから、これを本番環境でも導入したらいいんじゃないか、
と思ったのが本質問の発端となります。
ACM以外の方法で管理、運用されている方々につきましても、
どのような方法で簡略化されているのかご教示いただけると嬉しいです。
追記(2021/02/03)
ご回答いただいた方ありがとうございます。
本件、題名に対して知りたいことが分散してしまっていることに気付いたので、
題名は無視して、「知りたいこと」に記載の2点についてご教示いただきたいです。
1点目は、ACMが本番サイト等で利用するのに申し分ないものなのか、不足があるとすればどこなのか知りたいです。(要件による等は承知の上なので、思いつく限りで良いです)
2点目は、ただ単に他社がどのように保守されているのか知りたいというものです。
回答2件
0
ベストアンサー
本番環境の要件次第なので何をもって適しているというかは難しいです。
これはあくまで私見ですが、OV/EV証明書にも今やそれほどサイトの信頼性を示す効果がないと思っているので、信頼性という意味でならあまり気にすることはないのかなと思っています。
ここの部分は要件によるので是非はここでは言い切れません。
ACMの証明書については証明書そのものを取得して他のところで使うことはできません。
AWS内でもALBかCloudFront等の限られたサービスでしか使えず、オンプレはもちろんEC2インスタンス単体に適用することはできません。
※特定のAMIに限りEC2でも利用可能なようですが、一般的ではないので現状当てにしないほうがよいでしょう。
ACMの証明書をEC2で利用可能になりました
既に挙げられてる通り、その他の手段としてはLet's EncryptやZeroSSLを使って証明書を発行し、期限切れの前に何らかの形で自動更新する処理を入れる、というものがよく使われる手段です。
Let's Encryptはcertbotというクライアントを使うのが最も一般的ですが、他にもクライアントはたくさんあります。
ZeroSSLについては、サイト上の操作でらくらく発行出来る感じですが、それとは別にcertbot-zerosslというクライアントを公式で用意してくれています。
投稿2021/02/03 08:12
総合スコア7469
0
ACM の欠点としては下記のような感じではないでしょうか。それをクリアできるなら本番で使ってよいのではと。
・OV/EV SSL 不可
・SHA-1 不可
・(SHA-1 不可ということもあり) ガラケー等古い端末の対応は弱い
・ELB, Cloud Front 等範囲が限定されている (EC2 やオンプレ不可)
あとは Let's encrypt や ZeroSSL ですかね。
投稿2021/02/03 04:46
総合スコア2005
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。