# AWS Certificate Manager

https://d1.awsstatic.com/webinars/jp/pdf/services/20181219_BlackBeltSeminar_AWS_Certificate_Manager.pdf

## 通信をセキュアにする時代

• TLS(SSL)
• TLSとは
• SSL(Secure Sockets Layer) / TLS(Transport Layer Security)
• トランスポート層のプロトコルであり、データを暗号化して送受信するためのもの（HTTPやFTPの通信をセキュアに）
• TLSのなりたち
• (1995)SSL2.0が誕生
• (1999)SSLのバージョンアップによりSSL3.0をもとにTLS1.0 が制定
• (2018)TLS1.3が公開
• 常時TLSがあたりまえの時代に

## TLS サーバ証明書

• TLSサーバ証明書を利用する理由
• 脅威
• なりすまし、盗聴、改ざん、否認
• 対策
• 特定：TLS通信を行うウェブサイト、アプリケーション、その他リソースの特定
• 暗号化：安全なネットワーク通信
• 視認：ブラウザユーザーに鍵アイコンを見せる
• PKI(Public Key Infrastructure / 公開鍵暗号基盤)
• PKI
• 公開鍵暗号技術と電子署名を使ってインターネット通信を安全にする基盤
• 公開鍵暗号技術
• 電子署名
• 秘密鍵で暗号化されたデータを公開鍵で復号化できることが秘密鍵を保有している本人であると特定できる
• 電子証明書とルートCA
• 電子証明書
• PKIにおける鍵を持っている人を証明するもの
• CA
• 電子証明書を発行する組織
• 認証局
• ルートCA
• CAの最上位にいちするCA
• ルートCA自身の証明
• 自分自身に対して電子署名を発行する
• 証明書発行の流れ
• 証明書の発行
• ルートCAがすべての証明書を発行するのは現実的ではないのでCAに移譲して発行している
• トラストチェーン
• CAの適切性を階層的に確認していくことで最終的に正しさを確認できる
• 証明書の正当性確認
• 相手の証明書の正当性を確認するには、適切な組織によって証明されているかを確認することになる
• 認証の種類
• 自己署名証明
• 企業内証明
• 社内用にプライベートCAを作成し、TLSプライベート証明書を発行
• ドメイン認証（DV)
• ドメインの所有・管理していることを確認、TLSサーバの証明書を発行
• 組織認証（OV)
• 組織情報の審査を経てから発行
• 拡張認証（EV)
• OVよりも厳格な審査を経て発行
• TLSサーバ証明書の運用上の課題
• サーバーやドメインの数だけ証明書を用意
• 運用にかかる負荷
• 一台ごとにセットアップ
• CAにて証明書を発行
• 更新忘れ
• 入れていないとSEOが下がる

## AWS Certificate Manager(ACM)

ACM を利用するとAWSクラウド上でTLSサーバ証明書のプロビジョニング、管理、展開、更新が容易

• ACMの機能
• 発行機能
• パブリックDV証明書（DNSとEメールによるドメイン検証）
• プライベート証明書
• 展開更新機能
• 発行した証明書の展開
• インポートした証明書の展開
• 対象サービス
• ELB
• Amazon CloudFront ディストリビューション
• Amazon API Gateway 上のAPIカスタムドメイン
• EC2やオンプレサーバ等の内部リソース（プライベート証明書）
• コンソール、API、SDK、CLI
• メリット
• 安全な鍵管理
• AWSで証明書を集中管理
• 証明書のインポートと展開
• 他のサービスとの連携
• ACMに統合されるサービスでの利用の証明書は無料

## AWS Certificate Manager Private CA

• プライベートCA運用における課題
• プライベートCAの維持は複雑で効果
• セキュリティの知識も必要
• 複数CAの運用は複雑
• 動的リソースで利用したい場合スケーラビリティ考慮必要
• ACMは動的リソースのどのような問題を解決できるか
• 課題
• 動的クラウドリソースを認証する必要あり
• Autoscaling, CloudFormation など
• エンタープライズプライベートCAでの動的リソース利用
• 遅い、柔軟性が低い、運用作業の煩雑さ
• ACMでできること
• セキュアかつマネージドなプライベートCA
• ハードウエア セキュリティモジュール
• IAM
• 証明書失効リスト（CRL）
• 監査レポート出力
• 証明書の集中管理
• API
• プライベート証明書のカスタマイズ
• 従量課金
• 仕組み
• AWS Private CAを作成すると組織がもつプライベートCAに対してトラストチェーンを作成、その後デバイスやリソースに対して証明書を発行
• ユースケース
• サーバ証明書
• 内部サーバの識別に
• EC2、ECS、オンプレサーバ
• ELB, CloudFront, API Gateway
• クライアント証明書
• APIアクセスの２要素承認
• サーバ間通信のためのTLS相互認証
• 自己署名証明書の代替
• IoTデバイスの証明書
• コンテナが呼ばれた際にフックして証明書を配置することも可能
• CloudTrail を利用したロギング
• ACM Private CA証明書発行管理方法
• ACM管理証明書
• 柔軟性がない代わりに、ACMにより集中管理をすることができる
• 自動更新が可能
• カスタマイズ証明書
• 柔軟に期間や証明サブジェクトなどを設定できる

## 雑感

AWSの証明書発行・管理サービス。ACMとACM Private CAの２つがあり、インターネットに公開するパプリックCAと社内などのインターナルで利用するPrivate のCAがある。

ACMの利点としては証明書の自動更新や、組み合わせることで自動化できるところにあると思う。（証明書の更新忘れでs◯ftbank が繋がらなく