翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ACM を使用して Windows SSL 証明書をApplication Load Balancer に移行
<a name="migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm"></a>

*Amazon Web Services、Chandra Sekhar Yaratha、Igor Kovalchuk*

## 概要
<a name="migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm-summary"></a>

このパターンでは、AWS Certificate Manager (ACM) を使用して、オンプレミスサーバーでホストされているウェブサイトまたは Microsoft インターネットインフォメーションサービス (IIS) 上の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスから既存のセキュアソケットレイヤー (SSL) 証明書を移行するためのガイダンスを提供します。その後、SSL 証明書は AWS の Elastic Load Balancing で使用できます。

SSL はデータを保護し、本人確認を行い、検索エンジンのランキングを向上させ、ペイメントカード業界データセキュリティ基準 (PCI DSS) の要件を満たすのに役立ち、顧客の信頼を高めます。これらのワークロードを管理する開発者や IT チームは、IIS サーバーや Windows サーバーなどの ウェブアプリケーションとインフラストラクチャがベースラインポリシーに準拠し続けることを望んでいます。

このパターンでは、既存の SSL 証明書を Microsoft IIS から手動でエクスポートし、個人情報交換 (PFX) 形式から ACM がサポートするプライベート拡張メール (PEM) 形式に変換し、AWS アカウントの ACM にインポートします。また、アプリケーションのApplication Load Balancer を作成し、インポートした証明書を使用するようにApplication Load Balancer を設定する方法についても説明します。その後、HTTPS 接続はApplication Load Balancer で終了されるため、ウェブサーバー上で追加の構成オーバーヘッドが発生することはありません。詳細については、 の[Create an HTTPS Listener for Your Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)を参照してください。

Windows サーバーは.pfx または.p12 ファイルを使用して、パブリックキーファイル (SSL 証明書) と固有のプライベートキーファイルを格納します。認証局 (CA) が公開キーファイルを提供します。サーバーを使用して、証明書署名要求 (CSR) が作成された関連する秘密キーファイルを生成します。

## 前提条件と制限
<a name="migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm-prereqs"></a>

**前提条件**
+ アクティブなAWS アカウント
+ ターゲットが使用する各アベイラビリティーゾーンで少なくとも 1 つのプライベートサブネットと 1 つのパブリックサブネットを持つ AWS の仮想プライベートクラウド (VPC)
+ Windows サーバー2012 以降で実行されている IIS バージョン 8.0 以降
+ IIS で実行されているウェブアプリケーション
+ IIS サーバーへの管理者アクセス。

## アーキテクチャ
<a name="migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm-architecture"></a>

**ソーステクノロジースタック**
+ SSL を使用した IISウェブサーバーの実装により、データが暗号化された接続 (HTTPS) で安全に送信されるようにします。

**ソースアーキテクチャ**

![\[ACM を使用して Windows SSL 証明書をApplication Load Balancer に移行するためのソースアーキテクチャ\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/images/pattern-img/cad6e465-da39-4819-970e-10e1c30e0a1f/images/e63efb6f-205b-4e20-a043-6bc954470191.png)


**ターゲットテクノロジースタック**
+ AWS アカウントの ACM 証明書
+ インポートされた証明書を使用するように設定されたApplication Load Balancer
+ プライベートサブネット内の Windows サーバーインスタンス

**ターゲット アーキテクチャ**

![\[ACM を使用して Windows SSL 証明書をApplication Load Balancer に移行するためのターゲットアーキテクチャ\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/images/pattern-img/cad6e465-da39-4819-970e-10e1c30e0a1f/images/45ac7fba-fbad-4c74-9b1f-80ca212dae08.png)


 

## ツール
<a name="migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm-tools"></a>
+ [AWS Certificate Manager (ACM) は、 ウェブサイトやアプリケーションを保護するパブリックおよびプライベート SSL/TLS X.509 証明書およびキーの作成、保存、更新に伴う](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)複雑さに対処します。
+ [Elastic Load Balancing (ELB)](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html) は、受信するアプリケーションまたはネットワークのトラフィックを複数のターゲットに分散します。例えば、1 つ以上のアベイラビリティーゾーンの EC2 インスタンス、コンテナ、IP アドレスにトラフィックを分散できます。

## ベストプラクティス
<a name="migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm-best-practices"></a>
+ HTTP から HTTPS へのトラフィックリダイレクトを強制します。
+ Application Load Balancer のセキュリティグループを適切に設定して、特定のポートへのインバウンドトラフィックのみを許可します。
+ 複数のアベイラビリティーゾーンで EC2 インスタンスを起動し、高可用性を確保します。
+ IP アドレスの代わりに、アプリケーションロードバランサーの DNS 名を指すようにアプリケーションのドメインを設定します。
+ Application Load Balancer にアプリケーションレイヤーの[ヘルスチェック](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/target-group-health-checks.html) が設定されていることを確認します。
+ ヘルスチェックのしきい値を設定します。
+ [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) を使用してApplication Load Balancer をモニタします。

## エピック
<a name="migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm-epics"></a>

### .pfx ファイルをエクスポート
<a name="export-a-pfx-file"></a>


| タスク | 説明 | 必要なスキル | 
| --- | --- | --- | 
| Windows サーバーから.pfx ファイルをエクスポートします。 | Windows Server のオンプレミスの IIS マネージャーから SSL 証明書を.pfx ファイルとしてエクスポートするには：[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm.html)これで、.pfx ファイルが指定した場所とパスに保存されるはずです。 | システム管理者 | 

### PFX でエンコードされた証明書を PEM 形式に変換します。
<a name="convert-the-pfx-encoded-certificate-to-pem-format"></a>


| タスク | 説明 | 必要なスキル | 
| --- | --- | --- | 
| OpenSSL ツールキットをダウンロードし、インストールします。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm.html) | システム管理者 | 
| PFX でエンコードされた証明書を PEM 形式に変換します。 | 次の手順では、PFX でエンコードされた署名付き証明書ファイルを PEM 形式の 3 つのファイルに変換します。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm.html)PFX でエンコードされた証明書を変換するには：[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm.html) | システム管理者 | 

### ACM に証明書をインポートします。
<a name="import-a-certificate-into-acm"></a>


| タスク | 説明 | 必要なスキル | 
| --- | --- | --- | 
| 証明書をインポートするように準備します。 | [ACM コンソール](https://console.aws.amazon.com/acm/home) で**証明書のインポート**を選択します。 | クラウド管理者 | 
| 証明書本文を提供します。 | **証明書本文**の場合、インポートする PEM エンコードされた証明書を貼り付けます。このエピックの他のタスクで説明されているコマンドと手順の詳細については、ACM ドキュメントの[証明書のインポート](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) を参照してください。 | クラウド管理者 | 
| 証明書のプライベートキーを指定します。 | **証明書のプライベートキー**の場合、PEM エンコードされ、証明書のパブリックキーに一致する暗号化されていないプライベートキーを貼り付けます。 | クラウド管理者 | 
| 証明書チェーン｡ | 証明書チェーンでは、`CertificateChain.pem` ファイルに保存されている PEM エンコードされた**証明書チェーン**を貼り付けます。 | クラウド管理者 | 
| 証明書をインポートする | **レビューとインポート**を選択します。証明書に関する情報が正しいことを確認し、**インポート**を選択します。 | クラウド管理者 | 

### Application Load Balancer の作成
<a name="create-an-application-load-balancer"></a>


| タスク | 説明 | 必要なスキル | 
| --- | --- | --- | 
| ロードバランサーとリスナーを作成し、設定します。 | [Elastic Load Balancing ドキュメント](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html) の指示に従って、ターゲットグループを設定し、ターゲットを登録し、Application Load Balancer とリスナーを作成します。ポート 443 に 2 つ目のリスナー (HTTPS) を追加します。 | クラウド管理者 | 

## トラブルシューティング
<a name="migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm-troubleshooting"></a>


| 問題 | ソリューション | 
| --- | --- | 
| Windows PowerShell は、システムパスに OpenSSL コマンドを追加した後でも、そのコマンドを認識しません。 | `$env:path` をチェックして、OpenSSL バイナリの場所が含まれていることを保証します。できない場合、PowerShell で次のコマンドを実行します。<pre>$env:path = $env:path + ";C:\OpenSSL-Win64\bin"</pre> | 

## 関連リソース
<a name="migrate-windows-ssl-certificates-to-an-application-load-balancer-using-acm-resources"></a>

**ACM への証明書のインポート**
+ [ACM コンソール](https://console.aws.amazon.com/acm/home)
+ [インポートのための証明書とキー形式](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-format.html)
+ [証明書のインポート](https://aws.amazon.com/blogs/security/how-to-import-pfx-formatted-certificates-into-aws-certificate-manager-using-openssl/)
+ [AWS 証明書マネージャーユーザーガイド](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)

**Application Load Balancer の作成**
+ [Application Load Balancer の作成](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html)
+ [Application Load Balancer のユーザーガイド](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)