AWS Certificate Manager
# AWS Certificate Manager
## 通信をセキュアにする時代
- TLSサーバ証明書を利用する理由
- 脅威
- なりすまし、盗聴、改ざん、否認
- 対策
- 特定:TLS通信を行うウェブサイト、アプリケーション、その他リソースの特定
- 暗号化:安全なネットワーク通信
- 視認:ブラウザユーザーに鍵アイコンを見せる
- PKI(Public Key Infrastructure / 公開鍵暗号基盤)
- 電子証明書とルートCA
- 証明書発行の流れ
- 証明書の発行
- ルートCAがすべての証明書を発行するのは現実的ではないのでCAに移譲して発行している
- トラストチェーン
- CAの適切性を階層的に確認していくことで最終的に正しさを確認できる
- 証明書の正当性確認
- 相手の証明書の正当性を確認するには、適切な組織によって証明されているかを確認することになる
- 認証の種類
- 自己署名証明
- 企業内証明
- 社内用にプライベートCAを作成し、TLSプライベート証明書を発行
- ドメイン認証(DV)
- 組織認証(OV)
- 組織情報の審査を経てから発行
- 拡張認証(EV)
- OVよりも厳格な審査を経て発行
- TLSサーバ証明書の運用上の課題
## AWS Certificate Manager(ACM)
ACM を利用するとAWSクラウド上でTLSサーバ証明書のプロビジョニング、管理、展開、更新が容易
- ACMの機能
- 発行機能
- 展開更新機能
- 発行した証明書の展開
- インポートした証明書の展開
- 対象サービス
- ELB
- Amazon CloudFront ディストリビューション
- Amazon API Gateway 上のAPIカスタムドメイン
- EC2やオンプレサーバ等の内部リソース(プライベート証明書)
- コンソール、API、SDK、CLI
- メリット
## AWS Certificate Manager Private CA
- プライベートCA運用における課題
- プライベートCAの維持は複雑で効果
- セキュリティの知識も必要
- 複数CAの運用は複雑
- 動的リソースで利用したい場合スケーラビリティ考慮必要
- ACMは動的リソースのどのような問題を解決できるか
- ACMでできること
- セキュアかつマネージドなプライベートCA
- ハードウエア セキュリティモジュール
- IAM
- 証明書失効リスト(CRL)
- 監査レポート出力
- 証明書の集中管理
- API
- プライベート証明書のカスタマイズ
- 従量課金
- 仕組み
- ユースケース
- ACM Private CA証明書発行管理方法
## 雑感
AWSの証明書発行・管理サービス。ACMとACM Private CAの2つがあり、インターネットに公開するパプリックCAと社内などのインターナルで利用するPrivate のCAがある。
ACMの利点としては証明書の自動更新や、組み合わせることで自動化できるところにあると思う。(証明書の更新忘れでs◯ftbank が繋がらなく