AWS Certificate Manager が発行するサーバ証明書を調べてみた
Posted on
- #aws
ELB と CloudFront で使えるサーバ証明書が 無料 で発行できるサービス「AWS Certificate Manager」がリリースされました。
ワイルドカードも使えるドメイン認証 (DV) 証明書が無料というのは太っ腹ですね! EV 認証のような実在証明が不要で、まず SSL/TLS 対応したいという場合には良さそうです。
自分もさっそく試してみたのですが、Management Console ではドメイン名を入力するだけで CSR (署名要求) を求められることはありませんでした。不思議に思ったので、実際に発行されたサーバ証明書がどんな内容になっているか調べてみました。
認証局 は Amazon
最初に驚いたのが Amazon 自ら認証局になっている ということです(Google も同じように認証局になっていますね)。
openssl コマンドで証明書チェーンを調べてみると、Amazon が中間認証局、Starfield Technologies がルート認証局ということがわかります。自ら認証局になることでサーバ証明書の発行にかかるコストを最小化できるわけですね。
$ echo | openssl s_client -connect ssl-test.manabusakai.com:443
(snip)
Certificate chain
0 s:/CN=manabusakai.com
i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
1 s:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
i:/C=US/O=Amazon/CN=Amazon Root CA 1
2 s:/C=US/O=Amazon/CN=Amazon Root CA 1
i:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
3 s:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
i:/C=US/O=Starfield Technologies, Inc./OU=Starfield Class 2 Certification Authority
Firefox の認証局証明書を確認してみると確かに存在します。証明書の内容から Amazon が認証局になったのは 2015/05/25 のようです。
ディスティングイッシュネームも Amazon の情報
CSR に含めるディスティングイッシュネーム(組織名や部門名など)も Amazon の情報が使われています。どおりで CSR が必要ないわけです。
$ echo | openssl s_client -connect ssl-test.manabusakai.com:443
(snip)
subject=/CN=manabusakai.com
issuer=/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
てっきり AWS の登録情報から引っ張ってくるのかと思いましたが違いました。あくまでドメイン認証証明書なのでディスティングイッシュネームは Amazon の情報でも問題ないです。
まとめ
無料の証明書といえば Let’s Encrypt が話題になっていますが、AWS Certificate Manager は専門知識がない人でも簡単に使え、かつ発行や更新の面倒な手続きを肩代わりしてくれます。
機能そのものは一般的なドメイン認証証明書と同じですが、発行手続きは CSR すら不要という驚きの簡単さです。手続きが難しかったりコスト面で二の足を踏んでいたユーザーにはキラーサービスになりそうですね。