【AWS】ACM（AWS Certificate Manager）について解説（無料で SSL 証明書を取得）

ACM（AWS Certificate Manager）について解説します。

ACM を利用すると無料で SSL 証明書を取得できます。

 

 

 

ACM（AWS Certificate Manager）とは

ACM を利用すると、パブリックとプライベートの SSL/TLS 証明書を簡単に展開できます。

また、一般的な SSL/TLS 証明書は、1年ごとに入れ替えが必要になりますが、ACM を利用すると SSL/TLS 証明書の入れ替え作業が不要になります。

つまり、管理工数の削減とヒューマンエラーの防止が可能になります。

 

 

ACM 発行の SSL/TLS 証明書が利用できるサービス

一般的なサーバー運用者の場合は、「お名前.com」経由で「Global Sign SSLサーバー証明書」を利用することが多いかもしれません。

GMO グローバルサインやジオトラストなどで取得した SSL/TLS 証明書は、IIS や Apache や Nginx などにインストールして利用できますが、ACM で発行した SSL/TLS 証明書は ELB（Elastic Load Balancing）や Amazon CloudFront や Amazon API Gateway など ACM に統合された AWS のリソースのみで利用できます。

そのため、更新作業を忘れて更新期限が切れて Web サービスにアクセスできなくなるようなヒューマンエラーを無くすことができます。

これは大企業になればなるほど必要なリスク回避手段です。

 

 

 

 

 

パブリック証明書とプライベート証明書が利用できる

パブリック証明書とプライベート証明書が利用できます。

プライベート証明書を作成する場合は、プライベート認証機関（CA）の作成が必要になります。

 

パブリックとプライベートの違いは、簡単に言えばベリサインやグローバルサインなどパブリックな認証局が発行した証明書か、自社内などで構築した独自の認証局で発行した証明書かの違いのみです。

• パブリック証明書　←　パブリック認証機関（CA）（ベリサイン、グローバルサイン等）が発行したもの
• プライベート証明書　←　プライベート認証機関（CA）が発行したもの

特に暗号強度が異なるとか、形式が異なるということはありません。

 

プライベート証明書の使い道としては、社内限定の Web サイトや Web アプリなどで利用される環境で、且つ社内限定でインターネットにも出て行かない環境で社内 DNS でドメインの管理をしており（例：test-company.local 等、社内限定の FQDN を利用している）、且つ個人情報が入っているので平文では送受信したくない場合などが考えられます。

 

 

 

 

 

ACM 利用の料金（パブリック証明書は無料）

ACM（AWS Certificate Manager）で発行されたパブリック SSL/TLS 証明書は無料です。

料金が発生するのは、Web サーバーや Web アプリケーションを実行するために使用した AWS リソースの料金のみです。

 

例えば、単純な（静的な）Web サーバー（DB なし）を構築する場合、利用するのは ELB と EC2 インスタンス、Route 53 などそれくらいです。

グローバルサインやジオトラストなど一般的な SSL 証明書発行サービス会社から購入する場合は、以下の価格になります。

 

■グローバルサイン（1年間）

• クイック認証（ドメイン認証）　→　34,800円
• 企業認証（実在認証）　→　59,800円
• EV SSL（EV 認証）　→　128,000円

 

 

■ジオトラスト

• クイック SSL プレミアム　→　31,300円
• トゥルービジネス ID　→　55,000円
• トゥルービジネス ID with EV　→　115,200円

 

 

それに比べれば、ACM のパブリック SSL/TLS サーバ証明書は「無料」且つ、自動更新してくれるので、ELB を経由してインターネットに Web サービスを提供しているなら ACM で SSL/TLS サーバー証明書を取得するのがお勧めです。