Classic Load Balancer (CLB) の証明書の要件 - Server Load Balancer

Classic Load Balancer (CLB) は、PEM 形式の証明書のみをサポートしています。証明書をアップロードする前に、証明書、証明書チェーン、および秘密鍵が形式要件を満たしていることを確認してください。他の形式の証明書は、CLB にアップロードする前に PEM 形式に変換する必要があります。OpenSSL を使用して変換を実行できます。

証明書タイプ

CLB は、RSA などの国際的に認められたアルゴリズムを使用する証明書をサポートしています。

証明書の要件

ルート CA によって発行された証明書

証明書がルート認証局 (CA) によって発行された場合、証明書ファイルは必要な唯一のファイルです。追加の証明書は必要ありません。この証明書でサイトを設定すると、ブラウザやその他のアクセスデバイスはサイトを信頼します。

証明書は、次の形式要件を満たす必要があります。

内容は -----BEGIN CERTIFICATE-----, -----END CERTIFICATE----- マーカーで始まり、終わる必要があります。
各行には 64 文字を含める必要があります。最終行は 64 文字未満でもかまいません。
証明書の内容にスペースを含めることはできません。

中間 CA によって発行された証明書

証明書が中間 CA によって発行された場合、証明書ファイルには複数の証明書が含まれます。サーバー証明書と中間証明書を 1 つのファイルにマージしてアップロードする必要があります。

証明書チェーンは、次の形式要件を満たす必要があります。

サーバー証明書が最初に表示され、その後に中間証明書が続きます。間に空白行を追加しないでください。
証明書の内容にスペースを含めることはできません。
証明書間に空白行を追加しないでください。各行には 64 文字を含める必要があります。詳細については、「RFC1421」をご参照ください。
証明書は形式要件を満たす必要があります。通常、中間 CA は証明書が発行されるときに証明書形式に関する説明を提供します。証明書は CA の形式要件に準拠する必要があります。

次の例は、中間 CA によって発行された証明書チェーンを示しています。

    -----BEGIN CERTIFICATE-----
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    -----END CERTIFICATE-----

証明書の公開鍵

CLB は、次の公開鍵アルゴリズムをサポートしています。

RSA 1024
RSA 2048
RSA 4096

RSA 秘密鍵の形式要件

サーバー証明書をアップロードするときは、その秘密鍵もアップロードする必要があります。

RSA 秘密鍵は、次の形式要件を満たす必要があります。

内容は -----BEGIN RSA PRIVATE KEY-----, -----END RSA PRIVATE KEY----- マーカーで囲み、全体をアップロードする必要があります。
空の行は許可されません。各行には 64 文字を含める必要があります。最終行はこれより短くてもかまいません。詳細については、「RFC1421」をご参照ください。

秘密鍵が暗号化されている場合、たとえば、-----BEGIN PRIVATE KEY-----, -----END PRIVATE KEY----- または -----BEGIN ENCRYPTED PRIVATE KEY-----, -----END ENCRYPTED PRIVATE KEY----- マーカーで囲まれている場合、または Proc-Type: 4,ENCRYPTED が含まれている場合は、まず次のコマンドを実行して変換する必要があります。

openssl rsa -in old_server_key.pem -out new_server_key.pem

OpenSSL の新しいバージョンでは、openssl rsa はデフォルトで PKCS#8 形式で出力します。これにより、変換が失敗します。openssl rsa -in old_server_key.pem -out new_server_key.pem -traditional コマンドを使用してキーを変換します。

証明書形式の変換

DER から PEM へ

DER 形式は通常、Java プラットフォームで使用されます。この形式の証明書ファイルには、通常、.der、.cer、または .crt のファイル拡張子が付きます。

証明書を変換するには、次のコマンドを実行します:
```
openssl x509 -inform der -in certificate.cer -out certificate.pem
```

秘密鍵を変換するには、次のコマンドを実行します:

openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem

P7B から PEM へ

P7B 形式は通常、Windows Server および Tomcat で使用されます。

証明書を変換するには、次のコマンドを実行します:

openssl pkcs7 -print_certs -in incertificate.p7b -out outcertificate.cer

PFX から PEM へ

PFX 形式は通常、Windows Server で使用されます。

証明書を抽出するには、次のコマンドを実行します:
```
openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
```
秘密鍵を抽出するには、次のコマンドを実行します:
```
openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes
```

Server Load Balancer:証明書の要件と証明書形式の変換