Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Certificate Manager (ACM証明書)の仕様変更対応 〜スマートな切...
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
ふくちーぬ(Takaya Fukuchi)
November 15, 2024
Technology
550
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWS Certificate Manager (ACM証明書)の仕様変更対応 〜スマートな切り替え術〜
AWS Certificate Manager(ACM証明書)の仕様変更対応〜スマートな切り替え術〜
2024/11/15 JAWS-UG 山梨 #2
ふくちーぬ(Takaya Fukuchi)
November 15, 2024
More Decks by ふくちーぬ(Takaya Fukuchi)
See All by ふくちーぬ(Takaya Fukuchi)
AWS Lambdaでサーバレス設計を学ぼう_ベンダーロックインの懸念を超えて-サーバレスの真価を探る
fukuchiiinu
5
1.3k
JAWS-UG茨城_Amazon Bedrockを使う生成AIアプリケーションの開発ワークショップ_補足資料
fukuchiiinu
1
130
Japan AWS Jr. Championsがお届けするre:Invent2024のハイライト ~ラスベガスで見てきた景色~
fukuchiiinu
0
1.2k
大規模サーバ移行を成功に導くための事前調査フェーズの工夫事例
fukuchiiinu
2
1.1k
Youは何しにJAWS-UGへ?
fukuchiiinu
2
540
次は君だ。~Japan AWS Jr. Champions 受賞までの奇跡~
fukuchiiinu
1
750
CodePipelineにおいてネストされたスタックの子スタックに対して変更セットを有効にするテクニック!
fukuchiiinu
0
250
AWS公式ドキュメントにきちんと向き合っていますか?~ECSの最新アップデートから見てみた、ドキュメント検証の重要性~
fukuchiiinu
0
580
Other Decks in Technology
See All in Technology
依頼文化をやめる日 EM視点で語るPlatform EngineeringとInclusive SRE / Discussing Platform Engineering and Inclusive SRE from an EM's Perspective
shin1988
4
4.2k
CIで使うClaude
iwatatomoya
0
170
AI駆動開発におけるQAエンジニアの役割事例 〜AI駆動開発の現場から〜
kobayashiyorimitsu
0
400
Kotlin 開発のツラミを爆破した話! / Explode the difficulty of Kotlin dev!
eller86
0
150
プライバシー保護の理論と実践
lycorptech_jp
PRO
1
250
デジタル・デザイン:次の50年を描く「進化する青写真」
y150saya
0
840
AI時代における最適なQA組織の作り方
ymty
3
460
初めてのDatabricks勉強会
taka_aki
2
240
AIDLC_ヤフーショッピングの取り組み
lycorptech_jp
PRO
0
560
20260702_生成AIはどこまで成長するのか_チャットだけじゃない世界
doradora09
PRO
0
110
FinOps X 2026 Recap from Engineer Side #JapanFinOps
chacco38
0
270
Control Planeで育てるBtoB SaaSの認証基盤 - SRE NEXT 2026
pokohide
1
1.6k
Featured
See All Featured
Building a A Zero-Code AI SEO Workflow
portentint
PRO
0
630
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
ryanjones
0
180
Game over? The fight for quality and originality in the time of robots
wayneb77
1
220
Art, The Web, and Tiny UX
lynnandtonic
304
22k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
640
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4.3k
Jess Joyce - The Pitfalls of Following Frameworks
techseoconnect
PRO
1
180
A better future with KSS
kneath
240
18k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
cargoodrich
3
750
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
270
A Modern Web Designer's Workflow
chriscoyier
698
190k
Ten Tips & Tricks for a 🌱 transition
stuffmc
0
150
Transcript
ふくちーぬ(福地孝哉) 2024/11/15 JAWS-UG 山梨#2 AWS Certificate Manager (ACM証明書)の仕様変更対応 〜スマートな切り替え術〜
2 本日はACMのお話をします。 このような通知を受け取った方が対象です AWS Certificate Manager (ACM) 件名:AWS Certificate Manager(ACM)はドメインのWHOIS連絡先アドレスの
検証メールの送信を停止します 本文: ドメインのWHOIS連絡先アドレスを使用して検証され、 AWS Certificate Manager(ACM)を通じて発行されたEメール検証済みパブリック証明書を少な くとも1つお持ちため、本通知をお送りしております。 ・ ・ ・ ※AWS Health Dashboardでも、自身のアカウント内に影響を受けるリソースがあるかどうか確認できます。 P24参照
3 そんな通知きてないので、”私は知らないわ” と思ったそんなあなた。
4 そんな通知きてないので、”私は知らないわ” と思ったそんなあなた。 メール検証を利用しているのが悪いじゃん。 最初からDNS検証を利用しているから”オレ 関係ないし”と思ったそんなあなた。
5 そんな通知きてないので、”私は知らないわ” と思ったそんなあなた。 メール検証を利用しているのが悪いじゃん。 最初からDNS検証を利用しているから”オレ 関係ないし”と思ったそんなあなた。 そんな方にこそ是非社内関係者に、本内容を 共有していただけますと幸いです!
名前:福地孝哉(ふくちーぬ) 所属:豊洲界 対応案件:Webシステムの運用保守,クラウドへのサーバ移行,API基盤構築 経歴: 2023-2024 Japan AWS All Certifications Engineers
2024 Japan AWS Jr. Champions JAWS-UG山梨と私: 昨年Jr. Championsによって開催される豊洲回で、濱田さんと出会いました! 先週JAWS-UG茨城にて、積田さんと出会いました! 一言:re:Inventに初参戦します!皆さん色々教えてください! 好きなAWSサービス:AWS Certificate Manager 趣味:テニス,サウナ,熱波師,鹿島アントラーズ,Da-iCE 6
7 ACM仕様変更を簡単に • メール検証方式では、WHOISアドレスを利用してメール検証しているが、可用性の観 点から2024年10月以降送信を停止しました。新規利用については、2024年6月から既 に開始しています。 ‒ 背景として、WHOISアドレスに更新メールが届かなくなる問題が発生しています。 方法①メール検証方式を引き続き利用する ‒
今後は5つのシステムアドレスに更新メールが届きます。 administrator@your_domain_name hostmaster@your_domain_name postmaster@your_domain_name webmaster@your_domain_name admin@your_domain_name ‒ しかし、既知のアドレスのため攻撃の標的となる等セキュリティの懸念点があります。 方法②DNS検証方式に移行する ‒ 証明書の切り替え作業が必要です。
8 ACM仕様変更を簡単に • メール検証方式では、WHOISアドレスを利用してメール検証しているが、可用性の観 点から2024年10月以降送信を停止しました。新規利用については、2024年6月から既 に開始しています。 ‒ 背景として、WHOISアドレスに更新メールが届かなくなる問題が発生しています。 方法①メール検証方式を引き続き利用する ‒
今後は5つのシステムアドレスに更新メールが届きます。 administrator@your_domain_name hostmaster@your_domain_name postmaster@your_domain_name webmaster@your_domain_name admin@your_domain_name ‒ しかし、既知のアドレスのため攻撃の標的となる等セキュリティの懸念点があります。 方法②DNS検証方式に移行する ‒ 証明書の切り替え作業が必要です。
9 結論 DNS検証方式の証明書を新規作成した後に、ELBにアタッチされて いる証明書の置き換えを実施する 参考AWSドキュメント:https://docs.aws.amazon.com/ja_jp/acm/latest/userguide/email-validation.html
10 STEP0 Elastic Load Balancing AWS Certificate Manager (ACM) メール検証方式
メール検証方式の証明書がELBにアタッチ済みである
11 STEP1 Elastic Load Balancing AWS Certificate Manager (ACM) メール検証方式
DNS検証方式の証明書を新規に作成して、DNSサーバに登録する AWS Certificate Manager (ACM) DNS検証方式
12 DNS証明書の新規作成手順 情報システム部担当者様 ACM証明書を作成したので、 CNAMEレコードをDNSサーバに 72時間以内に登録してください。 ふくちーぬ
13 72時間後… DNS証明書の新規作成手順 情報システム部担当者様 ふくちーぬ
14 72時間後… (やばい。)いま登録しました。 DNS証明書の新規作成手順 情報システム部担当者様 ふくちーぬ
15 DNS証明書の新規作成手順 ACM証明書が検証失敗している。。 (もう一回登録依頼するの手間だな。) 情報システム部担当者様 ふくちーぬ
16 DNS証明書の新規作成手順 そんな時はさっきの証明書は削除して、 再度同一ドメインでACM証明書を作 成すれば検証されるんだっけか! 情報システム部担当者様 ふくちーぬ
17 DNS証明書の新規作成手順 情報システム部担当者様 ふくちーぬ ありがとうございました。 証明書のステータスが“検証済み”に なったので、クローズします。
18 DNS検証のCNAMEレコードはAWSアカウント内のドメイン名に対して、一意 の値となるため72時間以内に実施するべき検証ができなかった場合でも、証 明書を再作成することで対処することができます。 DNS証明書の新規作成時のポイント 参考AWSドキュメント:https://aws.amazon.com/jp/certificate-manager/faqs/
19 STEP3 Elastic Load Balancing AWS Certificate Manager (ACM) メール検証方式
ELB証明書を置き換えて、通信を切り替える AWS Certificate Manager (ACM) DNS検証方式
20 • NLBを利用の場合は、切り替え時の瞬断は発生しないためメンテナンス期 間を設ける必要はありません。例えば切り替え前に発生したリクエストは、 既存の証明書(メール検証)が使われて、切り替え後のリクエストについて は、新しい証明書(DNS検証)が使用される挙動となります。 • ALBを利用の場合は、切り替え時に通信遮断が発生する可能性があるの でメンテナンス期間を設けましょう。例えば切り替え前に長時間接続を維持 するセッションがあった際に、その接続が切断される場合があります。
切り替え時のポイント(AWSサポートにも確認済みです) 参考AWSドキュメント: https://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/tls-listener- certificates.html#default-certificate https://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/application/https- listener-certificates.html
21 まとめ • ACMにてメール検証を利用の方は、DNS検証に移行しましょう。移行する ことで、自動更新されるので運用負荷も軽減します。(13か月ごとの、メー ル検証作業が不要となります。) • 証明書を切り替える際は、ELBのタイプによってメンテナンス期間を設けて、 利用者に影響が出ないように移行しましょう。
JAWS-UG山梨 の皆さん今後とも よろしくお願いします! ご清聴ありがとうござい ました 22
23 AWS Health Dashboardでの確認方法 “イベント=AWS_ACM_OPERATIONAL_NOTIFICATION”でフィルタリングする。