AWSエンジニアとして、EC2やLightsailで作成したWordpressサイトのSSL化(HTTPS化)のお手伝いをする機会が多々ありました。ACM+ELBでSSL化をする場合は、証明書は無料で取得できるのですが、ELB(ALB)のランニングコストが18$程度かかることを知らない方もいらっしゃいました。
そこで、今回はAWSのEC2サーバでWordpressサイトを運営しようとしている方に向けて、SSLの定番パターンと特徴を説明したいと思います。
EC2サイトSSL化の定番パターンを3つ紹介
ACM+ALB+EC2によるSSL化
まずは、AWSのSSL化でWordpressに限らず定番のパターンとなっているロードバランサーを使用した構成について特徴を説明します。
・ALBの運用コスト(約18ドル/月)
・AWSのSSL証明書を無料で取得可能(自動更新)
・外部インターンネットとALB間の通信がSSL接続になる
・ALBとEC2サーバはHTTP接続となる(EC2に別途証明書を設定しない場合)
・HTTP→HTTPSのリダイレクトはALBで設定する
・ALB機能により80番ポートを使用したヘルスチェックが可能
主な特徴としては上記の通りです。運用コストで、毎月約18ドル追加になるため、個人サイト運営でSSL化をする場合は、ロードバランサーが必要かどうかを検討する必要があります。
ACM+CroudFront+EC2によるSSL化
次はALBの代わりにCroudFrontについて特徴を説明します。
・CroudFrontの運用費用が発生
・AWSのSSL証明書を無料で取得可能(自動更新)
・HTTP→HTTPSのリダイレクトはCroudFrontで設定する
・外部インターンネットとCroudFront間の通信がSSL接続になる
・ALBとEC2サーバはHTTP接続となる(EC2に別途証明書を設定しない場合)
EC2サーバのCroudFrontを使用したSSL化は、ネット検索しても情報が少ないですが実現可能です。CroudFrontの運用費用は、データ転送量などによって異なりますが、個人サイトではALBよりは月額が安くなることが多いと思います。費用を考えなければ、CroudFrontよりはALBを使用した構成の方が使い易いと考えます。
外部の証明書+EC2によるSSL化
最後は、外部の証明書を使用したSSL化についてです。AWSの証明書を使用しないパターンとなります。
・無料の外部証明書を使用することが可能
・httpsリダイレクトは、サーバ側で直接設定する
・証明書は1年ごとに手動更新するものが多い(Cronで自動設定できるものもある)
・外部インターネットとEC2間の通信がSSL接続になる
外部証明書によるSSL化は、Let’s Encryptのような無料の証明書を使用すれば、運用コストも抑えることが可能です。ただし、サーバを直接操作して設定する必要があるため、慣れていないと難易度が高いかと思います。BitnamiのEC2サーバを使用している方は、Bitnamiが用意したLet’s Encryptの設定ツールが搭載されているので、比較的簡単に設定を行うことが可能です。
まとめ
今回はAWS EC2サイトSSL化の定番パターンをご紹介しました。予算を考えなければALB(ロードバランサー)を使用した構成が使い易いと思います。各構成の設定方法については、今後記事を作成する予定です。また、Cloud部ではココナラにて、EC2サイトのSSL化設定代行を行っておりますので、お気軽にご相談ください。
AWS環境のSSL化(https)設定を代行します 現役のAWSエンジニアが丁寧に対応いたします