投稿日: Oct 10, 2017
Server Name Indication (SNI) を使用した Application Load Balancer (ALB) で複数の SSL 証明書のサポートが始まりました。これで、それぞれに独自の SSL 証明書がある複数の保証されている (HTTPS) アプリケーションを単一のロードバランサーでホストできるようになります。多くの保証されているアプリケーションまたはマルチテナント SaaS アプリケーションを同じロードバランサーで実行でき、アプリケーションの管理が大幅に簡素化します。
以前は、Application Load Balancer は標準の HTTPS リスナー (ポート 443) に対して 1 つの証明書のみをサポートし、同じロードバランサーで複数の安全なアプリケーションをホストするワイルドカードまたはマルチドメイン (SAN) 証明書を使用する必要がありました。ワイルドカードの証明書にはセキュリティー上のリスクがあり、架空で操作して管理するマルチドメイン証明書にも課題がありました。SNI のサポートにより、リスナーと複数の証明書を関連付けられるようになり、単一のロードバランサーでそれぞれに保証されているアプリケーションで独自の証明書を使用できます。
Application Load Balancer は、SNI を使用したスマート証明書の選択アルゴリズムもサポートしています。クライアントによって示されたホスト名が複数の証明書と一致する場合、ロードバランサーは、クライアントの特徴を含む複数の要因に基づいて、使用する最適な証明書を決定します。
証明書管理のため、SNI は AWS Certificate Manager (ACM) や AWS Identity and Access Management (IAM) と統合されています。リスナーごとのデフォルトの証明書に加えて、ロードバランサーと 25 までの証明書を関連付けることができます。