ACMのアスタリスク証明証のスコープと独自ドメインレベル

SSLにしたい以下の独自ドメイン

  1. sample.com
  2. admin.sample.com
  3. dev01.sample.com
  4. dev02.sample.com
  5. admin.dev01.sample.com
  6. admin.dev02.sample.com

をELB(ALB)のhttpsリスナーでACM設定して全部やろうとした。でも、少しハマッた。

最初に作ったACMのパブリック証明書

ACMのパブリック証明書の「ドメイン名の追加」で「この証明書に別の名前を追加」しながら以下2つのドメイン名で作った

  1. sample.com
  2. *.sample.com
ACM SSL Settings

結果

admin.dev01.sample.com と admin.dev02.sample.com でブラウジング出来ない。

原因

*.sample.com は第3レベルドメインをカバーしているけど、admin.dev01.sample.comやadmin.dev02.sample.comの第4レベルドメインをカバーしていない。スコープ外。よく考えれば当たり前のことです。

削除して作り直したACMのパブリック証明書

今度は以下のようにACMの現状のパブリック証明証を削除して作り直した。

  1. sample.com
  2. *.sample.com
  3. *.dev01.sample.com
  4. *.dev02.sample.com
acm-ssl-domain-name-settings

全部、SSLでブラウジング出来た。

ちょっとだけ大事な蛇足

ELBを複数使ってお金を払うならOKですが、ELBを1台で済ませる場合、ELB(ALB)のhttpsのリスナー設定にSSL証明書を2つ以上で複数設定出来ますが、ACMの証明証は全部のドメイン名を1つの証明書にまとめること!ELB(ALB)のhttpsのリスナーには基本的にSSL証明証を1つだけ設定すること!なぜなら、複数証明証だとブラウジング出来ない場合があるから。

と言うのも、最初に作ったACMとは別で、

  1. *.dev01.sample.com
  2. *.dev02.sample.com

だけで2つ目のACMのSSL証明証を作ってELBのhttpsのリスナーにSSL証明証を2つ目として追加したらブラウジング出来なかった。

つまり、ACMのSSL証明証を削除して作り直す前に、ELBのhttpsのリスナーからACMのSSL証明証を削除する必要があるので、一度、SSLを全部無しにする時間が発生する!

Development環境、Staging環境、・・・、などについて、後から自由にサブドメインをSSLで追加編集出来る!と考えていると上記の様に困ります!Production環境までも巻き込んでいるとしたら厄介です。第4レベルドメイン、第○レベルドメインまで、Route53のパブリック/プライベートホストゾーンも含めてプロジェクト開始前に将来の拡張を見越してACMを設定しましょう。

コメントをいただくことがしばしばあるため、コメント機能を有効化しました。わからないこと、間違っていること、疑問に思うこと、何でも質問受け付けます。間違っていることは適宜修正させていただきます。お気軽にコメントください。また、正しい回答を出来る方は、正しい回答でぶった斬ってコメントいただけますと幸いです。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください