ACMにオレオレ証明書(自己署名証明書)をインポートしてRoute53の独自ドメインで使用する方法
ACMにオレオレ証明書(自己署名証明書)をインポートしてみて、それを独自ドメインに割り当てることができるかを試してみました。
オレオレ証明書(自己署名証明書)作成は割愛しますが、WSLでbash使えばウィンドウズのコマンドプロンプトからopensslが使えるので簡単に作成することが可能です。
ちなみにオレオレ証明書(自己署名証明書)作成に証明書チェーンは不要です。
「AWS Certificate Managerでオレオレ証明書をインポートする」参照
「AWS で自己署名証明書を使ってみる」参照
上記サイトが参考になります、CNの設定が必要になります。証明書をドメインに割り当てる際にCN(Common Name)の設定が必要ですのでご注意ください。
Country Name (2 letter code) [XX]: State or Province Name (full name) []: Locality Name (eg, city) [Default City]: Organization Name (eg, company) [Default Company Ltd]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:*.yahoo.co.jp ← この設定が必要 Email Address []:Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
マネジメントコンソールではCommon Nameに設定した値がドメイン名になります。
この証明書を「AWS API Gatewayのカスタムドメインを実装する方法」で作成したカスタムドメインに割り当ててみます。
注意:Route53にCNAMEが必要なので証明書のリクエストからドメイン検証で作成しておく必要があります。
確認
Chromeで確認するには、以下で確認可能です。
opensslでは以下コマンドで確認できます。-servernameを付けて明示的に指定します。
$ openssl s_client -servername testapi.confrage.uk:443 -connect testapi.confrage.uk:443 -showcerts < /dev/null 2>&1 | grep subject subject=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=*.confrage.uk
参考サイト:OpenSSLは、Chromeで表示されるものとは異なるSSL証明書を返します
オレオレ証明書(自己署名証明書)作成の補足
$ openssl genrsa 2048 > server.key $ openssl req -new -key server.key -sha256 > server.csr $ openssl x509 -days 36500 -req -signkey server.key < server.csr > server.crt ■秘密鍵 openssl rsa -text < server.key ■自己署名証明書 openssl x509 -text < server.crt
KHI入社して退社。今はCONFRAGEで正社員です。関西で140-170/80~120万から受け付けております^^
得意技はJS(ES6),Java,AWSの大体のリソースです
コメントはやさしくお願いいたします^^
座右の銘は、「狭き門より入れ」「願わくは、我に七難八苦を与えたまえ」です^^
コメント