Tech Tips

たまに、技術検証用として、openssl コマンドで自己証明書（RSA）を作成して Web サーバ等に設定したりしています。 しかし、コマンドが覚えられず毎回調べ直してしまっているので、備忘録として自己証明書の作成方法、そして AWS の Application Load Balancer （ALB）への設定の仕方を書きます。 また、SSL 証明書の仕組みを、さっとおさらいしたいときは以下の記事を読み直しています。

自己証明書の作成方法

以下のコマンドで秘密鍵を作成します。

$ openssl genrsa -out ./server.key 2048

次に、以下のコマンドで公開鍵を作成します。後で使う ALB を東京リージョンで作成すると、現時点では「*.ap-northeast-1.elb.amazonaws.com」のドメインになるので、Common Name にはそのように設定しています。

$ openssl req -new -key ./server.key -out ./server.csr
...
Country Name (2 letter code) []:JP
State or Province Name (full name) []:Tokyo
Locality Name (eg, city) []:Unknown
Organization Name (eg, company) []:zuqqhi2
Organizational Unit Name (eg, section) []:
Common Name (eg, fully qualified host name) []:*.ap-northeast-1.elb.amazonaws.com
Email Address []:
...
A challenge password []: 

最後に、以下のコマンドで証明書を作成します。

$ openssl x509 -in ./server.csr -days 365 -req -signkey ./server.key -out ./server.crt

これで SSL 自己証明書の作成は完了です。 次に、作成した証明書を AWS の ALB に設定してみます。

AWS ALB への作成した SSL 自己証明書の設定

作成した証明書を AWS Certificate Manager （ACM） へインポートします。 ACM コンソールの「証明書のインポート」をクリックします。

「証明書本文」に server.crt の中身を、「証明書のプライベートキー」に server.key の中身をコピーします。「証明書チェーン」は空欄のまま、「次へ」をクリックします。（画像ではエラーが出てますが、コピーしたあと別の欄を選択すると、正しく作成できている場合はエラーは表示されません。）

次の画面で、「レビューとインポート」をクリックし、その後「インポート」をクリックすることで、作成した証明書を ACM にインポートすることができます。 ALB のバックエンドとして、以下のように設定した EC2 インスタンスを作成します。以下の表に記載していない項目についてはすべてデフォルトです。また、以降はデフォルトの VPC にインターネットゲートウェイが設定されている前提で勧めます。

設定項目	値
Amazon マシンイメージ（AMI）	Amazon Linux 2 AMI (HVM), SSD Volume Type 01748a72bed07727c
インスタンスタイプ	t2.micro
ユーザーデータ	#!/bin/bash sudo yum update -y sudo yum install -y httpd echo Welcome to $HOSTNAME > /var/www/html/index.html service httpd start chkconfig httpd on
セキュリティグループ	default

次に、ターゲットグループを作成し（名前以外、すべてデフォルトの設定）、先ほど作成した EC2 インスタンスをターゲットに追加します。 最後に以下のように設定した ALB を作成します。

設定項目	値
ロードバランサーの種類	Application Load Balancer
名前	適当に設定してください。
ロードバランサーのプロトコル	「リスナーの追加」をクリックして、 プロコトルが「HTTPS（セキュア HTTP）」でポートが「443」のリスナーを追加します。
アベイラビリティーゾーン	ap-northeast-1a 、ap-northeast-1c 、ap-northeast-1d すべて選択します。
セキュリティ設定の構成	証明書タイプ: ACM から証明書を選択する (推奨) 証明書の名前: 先ほど作成した自己証明書
セキュリティグループ	– default – 以下のインバウンドルールを持つセキュリティグループ タイプ: HTTP 、HTTPS ソース: マイ IP
ターゲットグループ	ターゲットグループ: 既存のターゲットグループ 名前: 先ほど作成したターゲットグループ

ALB のプロビジョニングが終了したら、HTTPS プロトコルで ALB の DNS 名にアクセスしてください。 警告は無視してアクセスしてください。Google Chrome の場合は、以下の記事の方法で警告を無視することができました。 「Welcome to …」というようなテキストのみ表示される画面が出たら、設定完了です。