AWS ELBにHTTPS（SSL証明書）を設定する手順を初心者向けに解説！

AWS ELBにHTTPS（SSL証明書）を設定する手順

先生と生徒の会話形式で理解しよう

生徒

「先生、AWSのロードバランサーにHTTPSを設定したいんですが、SSL証明書とか出てきて難しそうです。どうすればいいんでしょうか？」

先生

「大丈夫ですよ。AWSのElastic Load Balancing（イーエルビー）にHTTPSを設定するには、SSL（エスエスエル）証明書を用意してリスナーに設定するだけです。順を追えば初心者でもできます。」

生徒

「SSL証明書ってそもそも何のために必要なんですか？」

先生

「SSL証明書は通信を暗号化して、利用者が安心してウェブサイトに接続できるようにする仕組みです。AWSではACM（エーシーエム、AWS Certificate Manager）を使って簡単に証明書を発行できますよ。」

1. HTTPSとSSL証明書とは？

HTTPS（エイチティーティーピーエス）は、HTTPにSSL（エスエスエル）やTLS（ティーエルエス）という暗号化技術を組み合わせた通信プロトコルです。これにより、ユーザーとサーバー間の通信内容を第三者から守ることができます。

SSL証明書（エスエスエルショウメイショ）は、ウェブサイトが正規のものであることを証明し、暗号化通信を実現するために必要な電子的な証明書です。AWSではAWS Certificate Managerを利用して無料の証明書を発行できます。

2. AWS ELBにおけるHTTPSの役割

AWS Elastic Load Balancer（エラスティックロードバランサー、略してELB）は、リクエストを複数のEC2インスタンスに振り分ける役割を持ちます。ELBにHTTPSを設定することで、ロードバランサーとクライアント間の通信が暗号化され、セキュリティが強化されます。

さらに、ELBに証明書を設定すれば、個々のEC2サーバーに証明書をインストールしなくても安全な接続を提供できるため、管理が容易になります。

3. SSL証明書の準備（AWS Certificate Manager）

AWS Certificate Manager（エーシーエム）は、SSL証明書を簡単に発行・管理できるサービスです。以下の手順で証明書を準備します。

AWSマネジメントコンソールにログイン。
「Certificate Manager」を開く。
「証明書のリクエスト」をクリックし、ドメイン名を入力。
検証方法（DNS検証またはEmail検証）を選択。
検証が完了すると証明書が発行されます。

4. ELBにHTTPSリスナーを追加する

証明書を準備したら、ロードバランサーにHTTPSリスナーを設定します。

AWSマネジメントコンソールで「ロードバランサー」を開く。
対象のロードバランサーを選択。
「リスナー」タブで「リスナーを追加」をクリック。
プロトコルにHTTPS、ポートに443を指定。
SSL証明書としてACMで発行した証明書を選択。
デフォルトのターゲットグループを指定して保存。

5. セキュリティポリシーと暗号化設定

HTTPSリスナーを作成する際には、暗号化方式を選ぶ必要があります。AWSでは「セキュリティポリシー」というテンプレートを用意しており、TLSのバージョンや暗号スイートを指定できます。最新のセキュリティを確保するために、推奨されるポリシーを選択しましょう。

6. 動作確認の手順

設定後は、実際にブラウザで「https://」から始まるURLにアクセスして確認します。ブラウザのアドレスバーに鍵マークが表示されれば、SSL証明書が正しく設定されている証拠です。もしエラーが出る場合は、証明書の有効期限やドメイン名が一致しているかを確認しましょう。

7. 初心者でも分かる例え話

HTTPSとSSL証明書を、郵便物に例えると分かりやすいです。通常のHTTP通信は、誰でも簡単に開けられる封筒で手紙を送るようなものです。これでは途中で内容が盗み見られる可能性があります。一方、HTTPS通信は頑丈な鍵付きのケースに入れて送るようなもので、受け取る人しか開けられません。これにより、利用者は安心してサービスを使えるのです。

まとめ

今回の記事では、AWSのロードバランサーであるELB（Elastic Load Balancing）にHTTPSを設定し、ウェブサイトの通信を暗号化する具体的な手順について詳しく解説してきました。現代のウェブ運用において、常時SSL化（HTTPS化）は避けて通れない必須項目です。検索エンジンからの評価、いわゆるSEOの観点からも、安全な接続を提供しているサイトは優遇される傾向にありますし、何よりユーザーに安心してサービスを利用してもらうための信頼の証となります。

AWSにおけるSSL設定の重要ポイント

設定の流れをおさらいすると、まずはACM（AWS Certificate Manager）で証明書を取得し、それをELBのリスナーに関連付けるという非常にシンプルな構造になっています。以前のように、サーバー一台一台にログインして証明書ファイルを配置し、Webサーバーの設定ファイルを書き換えるといった煩雑な作業は必要ありません。この「一元管理」ができる点こそが、AWSを利用する最大のメリットの一つと言えるでしょう。

また、インフラエンジニアとして意識しておきたいのは、ELBでSSLを終端（SSL Termination）させるという考え方です。これにより、バックエンドのEC2インスタンスには負荷をかけず、複雑な暗号化処理をELB側に任せることができます。システム全体のパフォーマンス維持にも直結する重要な知識ですね。

トラブルシューティングとCLIでの確認

もし設定後にサイトが表示されない場合は、セキュリティグループの設定を見直してみてください。HTTPS通信で使用するポート番号443が、外部からのインバウンドルールで許可されているかどうかがよくある落とし穴です。また、現在の設定状況をAWS CLI（コマンドラインインターフェース）で確認する方法も覚えておくと、コンソール画面を開く手間が省けて非常に効率的です。

例えば、現在作成されているロードバランサーのリスナー情報を確認したいときは、以下のコマンドを実行します。


aws elbv2 describe-listeners --load-balancer-arn (ロードバランサーのARN)
{
    "Listeners": [
        {
            "Protocol": "HTTPS",
            "Port": 443,
            "DefaultActions": [
                {
                    "Type": "forward",
                    "TargetGroupArn": "arn:aws:elasticloadbalancing:ap-northeast-1:..."
                }
            ],
            "Certificates": [
                {
                    "CertificateArn": "arn:aws:acm:ap-northeast-1:..."
                }
            ]
        }
    ]
}

このように、JSON形式で設定内容が正しく反映されているかを確認できます。プログラムやスクリプトから自動でインフラの状態をチェックする際にも役立ちますね。

Python(Boto3)を使用した証明書情報の取得例

さらに、Pythonを使ってプログラムからACMの証明書の状態を確認することも可能です。AWS公式のSDKであるBoto3ライブラリを使用すると、有効期限やドメイン名の情報を簡単に取得できます。証明書の更新漏れを防ぐための監視スクリプトなどに応用できるテクニックです。


import boto3

# ACMクライアントの作成
client = boto3.client('acm', region_name='ap-northeast-1')

def check_certificate_status(certificate_arn):
    # 証明書の詳細情報を取得
    response = client.describe_certificate(
        CertificateArn=certificate_arn
    )
    
    cert_detail = response['Certificate']
    print(f"ドメイン名: {cert_detail['DomainName']}")
    print(f"ステータス: {cert_detail['Status']}")
    print(f"有効期限: {cert_detail['NotAfter']}")

# 実行例（実際のARNを代入してください）
# check_certificate_status('arn:aws:acm:ap-northeast-1:123456789012:certificate/uuid')

クラウドサービスを使いこなすということは、こうした自動化のツールも活用しながら、いかに正確に、そして楽に管理していくかを考えることでもあります。最初はコンソール画面からのポチポチ操作で構いませんが、慣れてきたらぜひコードでの管理（Infrastructure as Code）にも挑戦してみてください。

最後に、セキュリティ技術は日々進化しています。一度設定して終わりではなく、TLS 1.2や1.3といった新しいプロトコルへの対応や、脆弱性が見つかった古い暗号スイートの排除など、定期的な見直しを行う習慣をつけましょう。安全で快適なウェブサイト構築に向けて、今回の学びが皆さんの大きな一歩となれば幸いです。

先生と生徒の振り返り会話

生徒

「先生、おかげさまでELBにHTTPSを設定することができました！ブラウザのURL欄に鍵マークが出たときは、なんだか感動しましたよ。」

先生

「おめでとうございます！あの鍵マークを見ると、自分のサイトが守られている感じがして安心しますよね。設定してみて、何か気づいたことはありましたか？」

生徒

「はい！最初は証明書の用意ってすごくお金がかかるイメージだったんですけど、AWSのACMを使えば無料で発行できるのが驚きでした。これなら個人の趣味で作るサイトでも、手軽にセキュリティを強化できますね。」

先生

「そうなんです。ACMのおかげで、SSL化のハードルは劇的に下がりました。しかも、ACMで発行した証明書はELBに関連付けていれば自動更新されるので、期限切れを心配しなくていいのも嬉しいポイントですね。」

生徒

「自動更新までしてくれるんですか！それは助かります。以前、証明書の更新を忘れてサイトが見られなくなったっていうニュースを聞いたことがあったので、安心しました。そういえば、途中で出てきた『セキュリティポリシー』っていうのはどれを選べばいいんでしょう？」

先生

「基本的には、AWSが推奨している『ELBSecurityPolicy-2016-08』や、より新しいものを選べば間違いありません。古いAndroid端末や古いOSに対応させる必要がある場合は調整が必要ですが、特に理由がなければセキュリティの強度が保たれている最新の推奨設定を使いましょう。」

生徒

「なるほど、用途に合わせて選ぶんですね。あとは、セキュリティグループの設定でポート443を開け忘れていて、最初は全然繋がらなくて焦りました（笑）。」

先生

「あはは、それは誰もが通る道ですよ。インフラの設定は、パズルみたいに全ての条件が揃わないと正しく動きません。だからこそ、動いたときの達成感があるんです。次は、証明書をコードで管理したり、アクセスログを確認したりして、さらに一歩進んだ運用に挑戦してみましょう！」

生徒

「はい！もっと勉強して、AWSマスターを目指します！先生、今日は本当にありがとうございました！」

職業訓練講師が直接指導【AWS SAA 合格支援セミナー】

職業訓練講師が伝授する AWS Certified Solutions Architect - Associate (SAA-C03) 実践アーキテクチャ設計講座

月間120万PV超の技術メディア×職業訓練のプロが贈る、最短合格ロードマップ

職業訓練講師が60分で叩き込む。AWS SAA「落ちないシステム」の設計原則とシナリオ攻略。

本講座では、AWS認定ソリューションアーキテクト - アソシエイト(SAA-C03)の核心である「高可用性・高性能・高セキュリティ・コスト最適化」の4ドメインを、職業訓練講師が60分で集中講義します。単なる暗記では太刀打ちできない「ケーススタディ問題」を解くための、プロのアーキテクチャ思考回路を最短距離でインストールします。

60分集中・設計者の視点へアップデート

【つくるもの】
Multi-AZ構成による「耐障害性インフラ」と、Auto Scalingを活用した「自動拡張基盤」のベストプラクティスを設計。ELB × EC2 × RDSの黄金構成から、S3 × CloudFrontによるコンテンツ配信の高速化まで、現場で「最高レベルの可用性」と称賛される設計パターンを徹底解説します。

【学習環境】
AWS Well-Architected ツールをベースに解説。商用環境での「単一障害点(SPOF)の排除」や、Amazon VPC内の多層防御設計など、ソリューションアーキテクトとして必須の「現場の定石」を短時間で伝授します。