メニュー
【SSL証明書】FAQ/情報
↑ 上へ
注文
検索
AWS ELB/ALBにSSL証明書を設定する方法
ページ更新日:2026/05/07
AWS の ロードバランサー(ALB:Application Load Balancer、旧ELB)にSSL証明書を設定することで、HTTPSをロードバランサー側で終端し、バックエンドのEC2インスタンスはHTTPでアクセスされる構成が作れます。
AWSのSSL証明書は AWS Certificate Manager(ACM)発行の無料証明書か、認証局から購入した証明書をACMにインポートする かの2つの方法があります。
ACM証明書 vs インポート証明書
| ACM発行証明書(無料) | 購入証明書のインポート | |
| 費用 | 無料(ACM連携サービスで利用する場合) | 認証局への購入費用が必要 |
| 認証種別 | DVのみ | DV・OV・EV すべて対応 |
| EC2への直接配置 | 不可(通常の証明書ファイルとしてEC2上のWebサーバーへ配置する用途には使えない。ALB・CloudFront等のACM連携サービスで利用する) | 可(証明書ファイルをEC2のWebサーバーに直接インストールできる) |
| 自動更新 | 自動更新(DNS認証またはメール認証) | 手動更新が必要 |
| OV/EV証明書 | 不可 | 可(OV・EV証明書をインポート可能) |
詳細は AWS Certificate Manager(ACM)と有料SSL証明書の違いと使い分け もご参照ください。
方法1:ACM証明書をALBで使う手順
- AWSマネジメントコンソール → AWS Certificate Manager(ACM) → 「証明書のリクエスト」
- ドメイン名を入力し、DNS認証またはメール認証を選択して証明書を発行
- EC2 → ロードバランサー → 対象のALB を選択
- 「リスナーとルール」タブ → 「リスナーを追加」または既存HTTPSリスナーを編集
- プロトコル:HTTPS、ポート:443 を選択
- 「デフォルトSSL/TLS証明書」でACMから発行した証明書を選択
- 保存して適用完了
方法2:購入済みSSL証明書をACMにインポートしてALBで使う手順
ステップ1:ACMへ証明書をインポートする
- AWSマネジメントコンソール → AWS Certificate Manager(ACM) → 「証明書のインポート」
- 以下の3つを貼り付ける:
- 証明書本体:
-----BEGIN CERTIFICATE-----〜-----END CERTIFICATE-----の部分 - 証明書のプライベートキー:秘密鍵(
-----BEGIN PRIVATE KEY-----または-----BEGIN RSA PRIVATE KEY-----) - 証明書チェーン:中間CA証明書(認証局から提供されたチェーンファイル)
- 証明書本体:
- 「インポート」をクリック
※ 秘密鍵は パスフレーズなし(-nodes オプションで生成したもの)である必要があります。パスフレーズ付きの場合は openssl rsa -in server.key -out server.key で解除してください。
ステップ2:ALBのHTTPSリスナーに設定する
方法1と同じ手順でリスナーの証明書をインポートした証明書に変更します。
SSL証明書の更新時の注意点
- ACM発行証明書は自動更新されますが、インポート証明書は 手動でインポートし直す 必要があります。
- インポートし直した後も ALBのリスナーに設定されている証明書は自動では差し替わりません。リスナーの設定を更新して新しい証明書に切り替えてください。
- 古い証明書は有効期限後に削除できますが、削除前に必ず新しい証明書がリスナーに設定済みであることを確認してください。
バックエンドのEC2との通信(エンドツーエンドSSL)
デフォルトではALBとEC2間の通信はHTTP(ポート80)です。
ALBとEC2間もHTTPSで暗号化したい場合(エンドツーエンドSSL)は、EC2にもSSL証明書をインストールし、ALBのターゲットグループのプロトコルをHTTPSに変更します。
📌 関連ページ:
AWS Certificate Manager(ACM)と有料SSL証明書の違いと使い分け
複数サーバーへの同一SSL証明書インストール(ロードバランサー)
ApacheにSSL証明書をインストール