グローバルサインの企業認証SSL証明書をCloudFrontで使う為にAmazon Certificate Manager (ACM)にインポートする手順を説明します。
SSLのCSRや秘密鍵は、実際に証明書を設置するサーバとは別のサーバで作成しても特に問題なく動作します。
通常のGlobalSignでのSSL作成時と同様に、任意のLinuxサーバーで秘密鍵とCSRを作成し、CSRをSSL作成の申請画面に貼り付け申請します。
更新申請を行いしばらくすると GlobalSign から「サーバ証明書発行のお知らせ」というメールが届きます。メール文中には証明書と中間CA証明書が記載されています。
AWS Certificate Manager のコンソールを開き、「証明書のインポート」ボタンを押します。ここで CloudFrontで証明書を使うためにはバージニア北部リージョンでインポートする必要があります。東京リージョンにインポートしてもCloudFrontで利用できませんのでご注意を。
以下の証明書インポート画面が開きますので、それぞれの欄に以下の証明書情報を貼り付けます。
- 証明書本文:証明書(PEM形式)
- 証明書のプライベートキー:秘密鍵(パスフレーズ解除後)
- 証明書チェーン:中間CA証明書
証明書と中間CA証明書は、GlobalSignからのメール記載の内容を貼り付けますが、秘密鍵はパスフレーズを解除したものを貼り付ける必要があります。
秘密鍵のパスフレーズ解除方法は秘密鍵ファイルをwww.xxx.com.keyとした場合、以下になります。
# openssl rsa -in www.xxx.com.key -out www.xxx.com.key
各証明書を貼り付けたら「レビューとインポート」を押すと以下のように、ドメインや有効期限等が表示されます。内容を確認して「インポート」を押します。
インポートが終了すると証明書一覧に状況等が表示されます。
