« 【AWS発表】 EBSスナップショットコピーがインクリメンタルコピーに対応し、より高速に! | メイン | 【AWS発表】 SOC3レポートが利用可能に »

【AWS発表】 Amazon CloudFrontが独自SSL証明書とルートドメインホスティングをサポート

本日、Amazon CloudFrontに対して非常にリクエストの多かった2つの機能、独自SSL証明書とルードドメインホスティングをサポートしたことを発表できるこをうれしく思います。 これらの機能の両方をサポートすることで、CloudFrontの世界中に拡がるエッジロケーションを介して、ウェブサイトをまるごと全て配信することがより簡単になります。 これには、動的コンテンツ、静的なオブジェクト、およびウェブサイトまたはアプリケーションのセキュリティで保護された部分も含まれます。

独自SSL証明書
ユーザーがHTTPSプロトコルを使ってウェブサイトからコンテンツをリクエストした場合、ウェブサーバーはデジタル証明書を使用して、送信前にデータを暗号化します。 証明書内の情報は、コンテンツのソースを識別し、復号鍵も供給します。このような方法でコンテンツを保護することで、サイトに対するユーザーの信頼と信用を向上させることができます。

CloudFrontのディストリビューションを作成すると、例えば、d123.cloudfront.net といった一意のドメイン名を受けとります。 このドメイン名をURLとして直接使うこともできますし、CNAMEを作成し、サイトの閲覧者が慣れ親しんでいる名前を使ったり、www.mysite.comといったブランドを表す名前を使うということもできます。 しかし、各ブラウザに配布する皆様のドメインのSSL証明書を、CloudFrontのエッジサーバーは持っていませんでしたので、本日までは、HTTPS経由でコンテンツを配信する際、このCNAMEを使うことができませんでした。 しかし本日より、それが可能になりました!

特定のCloudFrontディストリビューションに対するHTTPSリクエストを処理する際に、SSL証明書をアップロードし、それを使用するCloudFrontを指定することができるようになりました。

この機能を使うには、まずAWSのWebサイトからインビテーション(招待状)をリクエストする必要があります。 リクエストが承認されるとすぐに、SSL証明書をアップロードし、AWS Management Consoleを使って、ディストリビューションと関連づけることができるようになります。手順は次のとおりです。

  1. 認定証明局から証明書を購入する。 証明書はX.509 PEM 形式である必要があり、証明書チェーンを含める必要があります。CloudFrontは、Domain Validation証明書、Extended Validation(EV)証明書、高保証証明書、ワイルドカード証明書(*.example.com)、およびSubject Alternative Names (SAN)証明書(example.comとexample.net)を含む、多くのタイプの証明書をサポートしています。

  2. AWSアカウントに証明書をアップロードするIAM CLIを使って、次のようなコマンドで、AWSアカウントに証明書をアップロードします。

    iam-servercertupload -s www.cloudfrontdemo.com -k privatekey.txt -c certchain.txt -b publickey.txt -p/cloudfront -v

    証明書がCloudFrontで使われることを示すために、-p (パス) オプションを指定する必要があることに注意していください。さらに詳しい情報については、iam-servercertupload ドキュメントをご覧ください。

  3. ドメイン名をディストリビューションにマッピングする。 サイトのDNSレコードセットにCNAMEレコードを作成し、ドメインもしくはサブドメインをディストリビューションのドメイン名にマッピングします。また、ディストリビューションが関連づけられたドメインをCloudFrontに教える必要もあります。



  4. 証明書をディストリビューションに関連づける:

これで設定は全て完了です!

閲覧者がSSL接続を介してCloudFrontからコンテンツをダウンロードする際、SSL接続はCloudFrontのエッジロケーションでターミネートされます。これにより、オリジンサーバはSSL暗号化の負担を軽減することができます。オリジンフェッチにHTTPSを使うようにCloudFrontを設定することもできます。オリジンから閲覧者までの全ての経路を暗号化したい場合に利用できます。

独自SSL証明書毎に時間単位の従量料金と月額の固定料金がかかります。SSL証明書の利用にかかる料金についての詳しい情報については、 CloudFrontの料金のページをご覧ください。

全体のプロセスに関する詳しいドキュメントとして、CloudFront Developer Guideがご利用いただけます。

ルートドメインホスティング
Route 53 (AWSのドメインネームサービス)を使って、エイリアス (A)レコードを設定できるようになりました。これは、CloudFrontディストリビューションにルートドメイン(例: "cloudfront.com")をマッピングできることを意味します。

この設定をすると、Route53はCloufFrontディストリビューションのIPアドレス(1つまたは複数)をリクエスト毎に返すようになります。 これにより、訪問者は、手動で"www"といったプレフィックスを指定しなくて済みますので、簡単かつ確実にウェブサイトにアクセスできるようになります。

設定は以下の図のとおりです。

Route53はCloudFrontディストリビューションにマッピングされたエイリアスレコードへのクエリに対して課金いたしません。 今回の発表で、CloudFrontディストリビューションを指す、全てのドメインエントリに対して、CNAMEレコードの代わりにRoute53のエイリアスレコードを使うことができるようになったことになります。 この新機能についてのさらに詳しい情報については、Route 53 Developer Guideをご覧ください。

Nihar Bihani + 堀内康弘 (Facebook, Twitter)

コメント

トラックバック

この記事のトラックバックURL:
http://www.typepad.com/services/trackback/6a00d8341c534853ef019103410358970c

【AWS発表】 Amazon CloudFrontが独自SSL証明書とルートドメインホスティングをサポートを参照しているブログ:

Featured Event

2016年3 月

    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31