ドメインの設定

最終更新日: 2025年1月6日
R8 | R9

AWS CLI のインストール

はじめに Amazon Web Service (AWS) の環境をコマンドラインで操作するための Command Line Interface (CLI) ツールのダウンロードとインストールを行います。(すでにこの対応は行っているという場合、読み飛ばしてください。)具体的には、こちらのURLに記載した手順に従ってください。

インストール後、バージョン番号が適切に表示されるかどうかを確認します。(バージョン番号は適切に読み替えてください。) 

C:\Wagby\Wagby-9.2.7>aws --version
aws-cli/2.13.7 Python/3.11.4 Windows/10 exe/AMD64 prompt/off

アクセスキーの設定

管理者の Access Key と Secret Access Key を登録します。(これらの値は AWS の管理画面で確認してください。) 

C:\Wagby\Wagby-9.2.7>aws configure --profile admin
ここでは --profile admin を付与しています。admin というアカウントで CLI を利用するということになります。

Access Key と Secret Access Key を入力します。ここではリージョン(region)および出力フォーマット(output format)はそれぞれ "ap-northeast-1" と "json" とします。"ap-northeast-1"はアジアパシフィック (東京)となります。 

AWS Access Key ID [None]: XXXX
AWS Secret Access Key [None]: XXXX
Default region name [None]: ap-northeast-1
Default output format [None]: json
下記コマンドが成功することを確認します。 
C:\Wagby-9.2.7>set AWS_PROFILE=admin
C:\Wagby-9.2.7>aws s3 ls

ホストゾーンの作成

ここではRoute53で、サブドメイン wmsa.wagby.com を管理するホストゾーンを作成する方法を説明します。(その次の章で、サーバ証明書の作成へ続きます。)

すでに AWS のアカウントは作成しており、契約済みの状態として説明します。AWSのマネジメントコンソールに管理者(ルートユーザー)としてログオン後、"Route53" のサービスを選択します。

図2 Route53サービスを選択する

Route53はDNS管理のためのサービスです。

図3 Route53トップページ

上図にある「DNS管理」の「今すぐ始める」ボタンを押します。最初にホストゾーンを用意します。

図4 ホストゾーンの作成

「ホストゾーンの作成」ボタンを押します。

今回は、すでに自社で用意済みの wagby.com というドメインに対するサブドメインとして wmsa.wagby.com を用意した例を示します。実際にはお客様がお持ちのドメインに対する、今回のアプリケーション用のサブドメインを用意してください。

"ホストゾーンの作成" をクリックし、ドメイン名に用意したドメイン名(今回の例では wmsa.wagby.com)を指定します。コメントには適切な説明文を入力してください。タイプはパブリックホストゾーンを選択します。ここまで入力後、作成ボタンをクリックします。

図5 ドメイン名を指定する

ホストゾーンが作成されます。「タイプ」「値」の欄にRoute53のネームサーバが出力されます。

図6 レコードセットの作成(1)

"ns-" で始まるこれらの名前をメインドメイン(今回の例では "wagby.com")のネームサーバに登録してください。(ネームサーバへの登録方法は割愛します。)

図7 AWSのDNS一覧 (内容は変わっている可能性があります。AWSが提供する最新の値を参照してください)

登録したサブドメインが正しく動作しているかを確認するために、レコードセットを作成します。"レコードセットの作成"をクリックし、名前等を入力して、作成をクリックします。

図8,9の例では、名前をwww、タイプをCNAME、値をwww.wagby.comとしました。www.wmsa.wagby.comの名前を引くと、www.wagby.comのIPアドレスを返すようにしています。

図8 レコードセットの作成(2)
図9 レコードセットの作成(3)

テスト

Windows 11 をお使いの場合、nslookupコマンドでDNSへの登録が成功したかどうかを確認することができます。 

nslookup www.wmsa.wagby.com.

次のように出力されます。 

サーバー: ...
Address: ...
Aliases: www.msa.wagby.com
         www.wagby.com
その他のOSをご利用の方は、ご利用環境で使える nslookup (に相当する) コマンドを使ってDNSの登録結果を確認してください。

ワイルドカードサーバ証明書の作成

AWS が提供する Certificate Manager にて、"*.wmsa.wagby.com" のワイルドカードサーバ証明書を作成します。これによってセキュア(https)通信を実現します。

Route53レコードセットの準備

"wmsa.wagby.com" および "*.wmsa.wagby.com"のサーバ証明書を許可するために、DNSにCAAフィールドを追加します。 レコードセットの作成をクリックし、図10のように名前を未指定、タイプをCAA、値に 0 issue "amazon.com"としてください。"wmsa.wagby.com"の証明書を"amazon.com"にて発行することを許可することになります。

図10 レコードセットの追加(1)

同様に、図11のように名前を"*"、タイプをCAA、値に 0 issuewild "amazon.com"としてください。(今度は issue ではなく issuewild となっています。)"*.wmsa.wagby.com"のワイルドカードサーバ証明書を"amazon.com"にて発行することを許可することとなります。

図11 レコードセットの追加(2)

作成すると、画面に "CAA" タイプの名前と値が表示されます。ここまでで DNS の設定は完了です。

図12 レコードセットの追加(3)

Certificate Manager の操作

"Certificate Manager" を選びます。

図13 ワイルドカードサーバ証明書の作成(1)

"証明書のプロビジョニング" にある「今すぐ始める」ボタンを押します。

図14 ワイルドカードサーバ証明書の作成(2)

"証明書のリクエスト" 画面に移ります。"パブリック証明書のリクエスト" を選択した状態で「証明書のリクエスト」ボタンを押します。

図15 ワイルドカードサーバ証明書の作成(3)

"ドメイン名の追加" を行います。用意した "*.wmsa.wagby.com" を選択します。("*" を忘れずに含めてください。) このまま「この証明書に別の名前を追加」ボタンを押します。

図16 ワイルドカードサーバ証明書の作成(4)

"wmsa.wagby.com" も追加します。(ここでは "*" は入りません。) 「次へ」ボタンを押します。

図17 ワイルドカードサーバ証明書の作成(5)

指定したドメインが貴組織のものであるかを検証するための検証方法を指定します。ここでは "DNSの検証" を選択して「次へ」ボタンを押します。

図18 ワイルドカードサーバ証明書の作成(6)

タグを追加することもできます。今回は使っていないため、未入力のまま「確認」ボタンを押します。

図19 ワイルドカードサーバ証明書の作成(7)

入力内容を確認します。間違いなければ「確定とリクエスト」ボタンを押します。

図20 ワイルドカードサーバ証明書の作成(8)

検証を行う画面に遷移します。ここでドメイン内の右三角のアイコンをクリックすると、DNSによる検証のためにDNSに追加するレコードの情報が表示されます。

図21 ワイルドカードサーバ証明書の作成(9)

今回は対応するドメイン(wmsa.wagby.com)をRoute53で管理しているため「Route 53でのレコードの作成」ボタンを押すだけで、レコードが追加されます。申請中の二つのドメイン "*.wmsa.wagby.com" と "wmsa.wagby.com" を Route53 に用意します。

図22 ワイルドカードサーバ証明書の作成(10)

「作成」ボタンを押します。

図23 ワイルドカードサーバ証明書の作成(11)

成功すると次のような画面になります。検証にしばらく時間がかかります。

図24 ワイルドカードサーバ証明書の作成(12)

しばらく待ったのち(最大30分程度)、Certificate Managerにて証明書を確認します。検証が完了し、発行に成功すると図25のように発行済みと表示されます。

図25 ワイルドカードサーバ証明書の作成(13)

確認

作成後、サーバ証明書のURIをコマンドラインツールで確認します。 あとの手順でロードバランサを作成するときに、ここで作成したサーバ証明書のARNを指定します。

なお、今回はワイルドカードサーバ証明書としているため、ホスト名が異なっていてもドメイン名が同じ(wmsa.wagby.com)であれば同じサーバ証明書を使うことができます。 

aws --profile admin acm list-certificates

コマンドの出力例を示します。 

{
  "CertificateSummaryList": [
      {
          "CertificateArn": "arn:aws:acm:ap-northeast-1:000000000000:certificate/aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee",
          "DomainName": "*.wmsa.wagby.com",
          "SubjectAlternativeNameSummaries": [
              "*.wmsa.wagby.com",
              "wmsa.wagby.com"
          ],
          "HasAdditionalSubjectAlternativeNames": false,
          "Status": "ISSUED",
          "Type": "AMAZON_ISSUED",
          "KeyAlgorithm": "RSA-2048",
          "KeyUsages": [
              "DIGITAL_SIGNATURE",
              "KEY_ENCIPHERMENT"
          ],
          "ExtendedKeyUsages": [
              "TLS_WEB_SERVER_AUTHENTICATION",
              "TLS_WEB_CLIENT_AUTHENTICATION"
          ],
          "InUse": false,
          "RenewalEligibility": "INELIGIBLE",
          "NotBefore": "2024-12-25T09:00:00+09:00",
          "NotAfter": "2026-01-24T08:59:59+09:00",
          "CreatedAt": "2024-12-25T18:30:38.092000+09:00",
          "IssuedAt": "2024-12-25T18:30:51.064000+09:00"
      }
  ]
}

下記を確認します。

  • DomainName に指定したドメイン名が出力されていること

  • Status が ISSUED となっていること

    ISSUED は作成に成功していることを意味します。

    FAILED 又は VALIDATION_TIMED_OUTとなっている場合は、作成に失敗、又は証明書が無効となってます。この証明書は削除し、再度作成しなおしてください。

    また、PENDING_VALIDATIONは証明書の検証中です。しばらくお待ちください。しばらく待っても状態が変わらない場合は、証明書の検証が正しく行われているかをご確認ください。 AWS Certificate Manager パブリック証明書のドメインの所有権を検証する

次のステップ

ここまでで AWS のドメイン設定を行うことができました。この操作は一回だけ行うものです。次ページで AWS 上で動作するさまざまなサービスの準備を行います。