Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ALB「証明書上限問題」からの脱却
Search
muso
January 16, 2026
Technology
360
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
ALB「証明書上限問題」からの脱却
Road to SRE NEXT 2026 @京都の発表資料
muso
January 16, 2026
More Decks by muso
See All by muso
k8sのシークレット管理をちょっとだけ楽にした話
nishiokashinji
0
110
Railsアプリの画像配信最適化 - Imgproxyを活用したパフォーマンス改善事例
nishiokashinji
0
45
Other Decks in Technology
See All in Technology
失敗を経て、Harness Engineering で 大切にしたいことを考える / Learning from Failure: What Matters in Harness Engineering
bitkey
PRO
0
220
AI活用を推進するために ファインディが下した、一つの小さな決断
starfish719
0
280
2026 TECHFRESH 畢業分享會 - AI-Native 重塑軟體工程與虛擬講師
line_developers_tw
PRO
0
430
2026TECHFRESH畢業分享會 - Lightning Talk - E起 See See : 電商推薦讀心術? 數據說了算
line_developers_tw
PRO
0
420
Bucharest Tech Week 2026 - Reinventing testing practices in the AI era
edeandrea
PRO
0
120
"何を作るか"を任される エンジニアは、どう育つのか
yutaokafuji
1
500
就職⽀援サービスにおけるキャリアアドバイザーのシフトスケジューリング
recruitengineers
PRO
1
120
非エンジニアがClaudeと挑んだ「1ヶ月間プロダクト30本ノック」
askokc
0
160
中期計画、2回作ってみた ~業務委託と正社員、両方の視点から~
demaecan
1
600
2026TECHFRESH畢業分享會 - AI 時代的人生存檔點
line_developers_tw
PRO
0
440
新しいVibe Codingと”自走”について
watany
5
270
10倍の生産性を実現するAI駆動並列エージェントのすべて
kumaiu
4
1.3k
Featured
See All Featured
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
aleyda
1
2k
Git: the NoSQL Database
bkeepers
PRO
432
67k
The Spectacular Lies of Maps
axbom
PRO
1
790
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
tomoyanonymous
2
850
Agile Leadership in an Agile Organization
kimpetersen
PRO
0
160
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
10k
Code Review Best Practice
trishagee
74
20k
How to Ace a Technical Interview
jacobian
281
24k
Collaborative Software Design: How to facilitate domain modelling decisions
baasie
1
240
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
Navigating Weather and Climate Data
rabernat
0
210
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
330
Transcript
ALB 「証明書上限問題」からの脱却 Road to SRE NEXT 2026 @ 京都 2026/1/16
自己紹介 活動名 無双(@nishi_okashi ) 住まい 兵庫県
前提となるお話 オンラインコミュニティサイト構築アプリ 「独自ドメイン提供」サービス お客様の好きなドメインで運用可能
課題:ALB の限界との戦い 顧客ドメインごとに SSL 証明書が必要 ここでクイズです Q. ALB にアタッチできる証明書の上限は?
A. デフォルト 25 枚
泥沼の戦い 1. 緩和申請で 100 枚 まで増枠 2. 2 台目のALB を投入
3. そして 3 台目 の足音が… 「これ、いつまで続けるの?」
解決策:NLB + Caddy NLB (Network Load Balancer) Caddy Go 製のWeb
サーバー 自動HTTPS 機能が強力
新アーキテクチャ
アーキテクチャのポイント いきなりアプリに繋ぐのではなく、既存ALB を挟む WAF やターゲットグループなどの既存資産を有効活用
移行の課題 「ダウンタイムゼロ」 で切り替えたい 手間なく証明書を発行したい http-01 チャレンジ 移行には DNS 切り替え が必要
しかし切り替え直後は証明書がない → ユーザーは SSL エラー になる
解決策:事前発行トリック 「既存のALB を経由して、新環境の証明書を作 る」 旧環境が稼働したまま、特定のアクセスだけを新環境へ転送するアプ ローチ
None
いざ、切り替え 裏で証明書確保は完了している あとは DNS をNLB へ向けるだけ → ダウンタイムゼロで移行完了!
ところでDNS の話 2 種類の方法で運用
Before: CNAME パターン A レコードはIP アドレスしか設定できない ALB のIP は定期的に変わる AWS
にはエイリアスレコードというものがあり、ALB のドメインを 登録できる 顧客全員がAWS を利用しているわけではない 解決策として弊社側でALB へ転送するドメインを用意し、顧客に CNAME 登録してもらっていた
弊社側 domain type value alb.example.com A ( エイリアスレコー ド) ALB
のデフォルトドメイ ン 顧客側 domain type value community.client.com CNAME alb.example.com これ以外にもACM 検証用のドメインを登録
Before: NS パターン CNAME が登録できない場合(ネイキッドドメイン) 、弊社へNS を向け てもらい、弊社側でレコードを登録していた
弊社側 domain type value client.com A ( エイリアスレコード) ALB のデフォルトドメイン
顧客側 domain type value client.com NS ns-xxx.awsdns-xx.com レコード管理が弊社になるので、レコード追加する必要が出た時、弊 社が対応しないといけない
After: シンプル NLB = Elastic IP ( 固定IP) ドメインの種類に関わらず… 「A
レコードでIP を向けるだけ」 顧客への案内フローが劇的に簡略化!
まとめ 課題: ALB の証明書枚数制限、管理コスト 解決: NLB + Caddy 構成への刷新 工夫:
既存ALB を活用した事前発行トリック 副産物: 固定IP 化で顧客のDNS 設定が単純化 インフラ改善がオンボーディング工数削減に繋 がった!
ご清聴ありがとうございました
nishiokashinji
bitkey
starfish719
line_developers_tw
edeandrea
yutaokafuji
recruitengineers
askokc
demaecan
watany
kumaiu
aleyda
bkeepers
axbom
tomoyanonymous
kimpetersen
eileencodes
trishagee
jacobian
baasie
chriscoyier
rabernat
tammyeverts
