AWS Certificate Manager(ACM)と有料SSL証明書の違いと使い分け
ページ更新日:2026/05/02
AWSを利用している場合、AWS Certificate Manager(ACM) という無料のSSL証明書サービスが利用できます。
しかし ACM はすべての用途に使えるわけではありません。このページでは ACM と有料SSL証明書の違い・使い分けを解説します。
AWS Certificate Manager(ACM)とは
ACM は AWS が提供するマネージドSSL/TLS証明書サービスです。以下の特徴があります:
- 無料:AWS サービスと組み合わせて利用する場合、証明書自体の費用はかかりません
- 自動更新:有効期限が近づくと自動で更新されます(2026年以降の47日化にも対応)
- DV証明書:ドメイン認証(DV)のみ発行。OV・EV証明書は発行できません
- AWS統合サービス専用:ALB・CloudFront・API Gateway・Elastic Beanstalk 等での利用が前提
ACMが使える場面
以下のAWSサービスにSSLを適用する場合、ACMは最適な選択肢です:
| AWSサービス | ACMの利用可否 |
| Application Load Balancer(ALB) | ◎ 推奨(ACMを直接アタッチ可能) |
| Amazon CloudFront | ◎ 推奨(バージニア北部リージョンのACMを利用) |
| API Gateway | ◎ 対応 |
| Elastic Beanstalk | ○ ALB経由で対応 |
| EC2(Apache/Nginx 直接インストール) | ✕ ACMの証明書を直接インストールできない |
※ ACMの証明書はAWS内で秘密鍵をエクスポートできない設計のため、EC2上のWebサーバーに直接インストールすることはできません。
ACMが使えない・不向きな場面
以下のケースでは ACM は利用できず、有料SSL証明書(当社販売)が必要です:
| 状況 | 理由 |
| EC2 上の Apache/Nginx にSSLを直接設定したい | ACMの秘密鍵はエクスポート不可のため、Webサーバーへの直接インストールができない |
| OV証明書(企業認証)が必要 | ACMはDVのみ。法人情報を証明書に含めるには有料OV証明書が必要 |
| EV証明書が必要 | ACMはEV証明書を発行しない |
| コードサイニング証明書が必要 | ACMはWebサーバー用TLS証明書のみ。ソフトウェア署名には対応しない |
| 非AWSのサーバー(オンプレミス・他クラウド)にも使いたい | ACMの証明書はAWSサービス内専用 |
| AWS以外の環境(GCP・Azure・さくらVPS 等)に使いたい | ACMはAWS専用サービスのため使用不可 |
ACMと有料SSL証明書の比較
| 項目 | ACM(AWS) | 有料SSL証明書(当社) |
| 費用 | 無料(AWS統合サービス利用時) | 有料(製品・期間により異なる) |
| 認証タイプ | DV(ドメイン認証)のみ | DV・OV・EV すべて対応 |
| EC2への直接インストール | ✕ 不可 | ◎ 可能(Apache/Nginx/IIS等) |
| 自動更新 | ◎ 自動 | 手動(または ACME自動化) |
| サイトシール | なし | あり(QuickSSL Premium等) |
| 保証(Warranty) | なし | 製品により数万円〜数百万円 |
| コードサイニング・VMC | ✕ 非対応 | ◎ 対応 |
EC2(Apache/Nginx)に有料SSL証明書をインストールする手順
EC2 上で Apache や Nginx を動かしている場合、ACM は使えないため当社で SSL 証明書を購入してインストールします。
- EC2 インスタンスで OpenSSL を使い CSR と秘密鍵を生成する
- 当社注文フォームから SSL 証明書を申し込む(RapidSSL や QuickSSL Premium が人気)
- DCV(ドメイン所有権確認)を行い、証明書を取得する
- EC2 のセキュリティグループで 443番ポートの受信を許可 する(インバウンドルール: HTTPS / TCP / 443 / 0.0.0.0/0)
- 取得した証明書を Apache または Nginx の設定ファイルに指定してインストールする
※ Elastic IP を使っている場合、IPアドレスが変わらないためドメインの変更なしにインストールできます。
※ インストール手順の詳細は Apacheへのインストール・Nginxへのインストール を参照してください。
ALB + EC2 構成での使い分け(推奨構成)
AWS での一般的な構成として、ALB に ACM 証明書をアタッチし、EC2 との通信は HTTP(ポート80)にする方法が広く使われています。
- ユーザー → ALB(HTTPS 443、ACM 証明書)→ EC2(HTTP 80)
- EC2 に SSL 証明書を設置する必要がなく、自動更新も ACM が担当
- EC2 が複数ある冗長構成でも証明書管理が一元化される
※ この構成の場合、ALB と EC2 間の通信は HTTP になります。閉じたVPC内であれば実用上問題ないケースが多いですが、セキュリティポリシーによっては端-端(E2E)暗号化が求められることもあります。
よくある質問
- Q. ACMは本当に完全無料ですか?
- ACM の証明書自体は無料ですが、証明書をアタッチするALBやCloudFrontの利用料は別途発生します。また、ACMを使用しない EC2 への有料SSL証明書インストール(EC2単体での運用)は ACM の対象外です。
- Q. ACMの証明書をEC2に直接インストールできないのはなぜですか?
- ACM は証明書の秘密鍵をAWSのKMS(Key Management Service)内で管理しており、ユーザーが秘密鍵をエクスポートできない設計になっています。Webサーバー(Apache/Nginx)のインストールには秘密鍵ファイルが必要なため、直接インストールはできません。
- Q. OV証明書やEV証明書はACMで取得できますか?
- いいえ、ACMはDV(ドメイン認証)証明書のみを発行します。OV(企業認証)やEV(拡張認証)証明書が必要な場合は当社のような有料SSL証明書販売代理店からご購入ください。特に金融機関・官公庁・大手EC等でEVが要求される場合に多く見られます。
関連ページ:
クラウド・VPS環境へのSSL証明書インストール(GCP・Azure・さくらVPS)
ApacheへのSSL証明書インストール手順
NginxへのSSL証明書インストール手順
OV証明書(企業認証)とは?DVとの違い・審査手順
SSL証明書の自動更新・自動発行とは?ACMEプロトコル