こんにちは！@Ryo54388667です!☺️

普段は都内でエンジニアとして業務をしてます！最近はプロジェクトをインフラからバックエンド、フロントエンドまで一通り任せてもらっています。

今回は AWS Amplify Hostingのカスタムドメインに、自前で取得したSSL/TLS証明書を持ち込んで適用する方法 を丁寧に紹介していきます！

業務の中で、AWS Amplify Hostingで動いているWebアプリに対して「指定された認証局から発行されたサーバ証明書を使う必要がある」という要件にぶち当たりました。Amplifyは標準だとACM(AWS Certificate Manager)が証明書を自動発行・自動更新してくれるので、つい忘れがちなんですが、エンタープライズ案件や官公庁案件では 「証明書はうちが指定したものを使ってください」 というケースがちょこちょこあります。

この記事は、

• Amplify Hostingに インポート証明書(自前で発行されたSSL/TLS証明書) を適用したい方
• CSR作成からACMインポート、Terraformでの設定変更、動作確認まで一気通貫で知りたい方
• certificate_settings ブロックを使ったAmplifyのドメイン関連付けで詰まっている方
• 「そもそも証明書ってサーバ用と中間用と何が違うんや…」と曖昧なまま実装している方

に特に参考になると思います。

少し長めの記事になってしまったので、目次代わりにまず全体像を眺めてから、必要なセクションから読んでいただいてもOKです 🙏。

「証明書」と一口に言っても、実は 3種類の証明書がチェーンになって信頼を作っている んですよね。ここを曖昧にしたままACMインポートに進むと、エラーが出たときに何がどう壊れているか掴めなくなるので、最初に整理しておきます。

ブラウザがHTTPSサイトを開くとき、サーバーから渡されるのは 「サーバー証明書 + 中間CA証明書」 のセットです。ブラウザはこれを OS/ブラウザに最初から入っているルートCA までさかのぼって検証することで「このドメインは本物だな」と判定します。

この 「下から上にたどって、知ってるルートに着けば本物」 という仕組みが、いわゆる 信頼チェーン(Chain of Trust) です。

ACMにインポートするときは、この信頼チェーンを以下の3つに分解して渡します。

ここで超重要な約束事:

• ✅ サーバー証明書はチェーンに含めない (含めると --certificate と二重になる)
• ✅ チェーンの順序は 中間CA → ルートCA (子から親への順)
• ✅ 秘密鍵は暗号化されていないPEM形式

このルールを破るとACMが容赦なく弾くので、頭の片隅に置いておいてください ☺️。

要件に「CA指定」「特定の証明書プロファイル」が無いなら、 基本はACM自動発行が圧倒的にラク です。インポートを選ぶのは「指定された証明書じゃないと運用ルール上ダメ」という場合に限るのがおすすめです 🙏。

手を動かす前に、ローカル環境と権限を揃えておきます。

最低限、以下のアクションが叩けるユーザー or ロールでログインしておきます。

• acm:ImportCertificate
• acm:DescribeCertificate
• acm:ListCertificates
• amplify:UpdateDomainAssociation / amplify:GetDomainAssociation
• cloudwatch:PutMetricAlarm (期限監視を作るなら)

certificate_settings ブロックを使うために AWS Provider v5.57.0 以降 が必要です。required_providers を確認しておきましょう。

今回は8ステップ＋運用パートに分けて進めます。

それでは順番に見ていきましょう！

CA(認証局)に証明書を発行してもらうには、まず CSR(Certificate Signing Request) と 秘密鍵 を自前で作る必要があります。

CSRは「私はこのドメイン用にこういう内容で証明書を発行してほしいです」という申請書みたいなもので、 公開鍵と申請者情報(国・組織・FQDN等) が含まれています。秘密鍵はその対になる相棒で、こちらが厳重に保管する側になります。

オプションの意味を順に整理しておきます。

• req -new: 新しいCSRを作るモード
• -newkey rsa:2048: 鍵ペアもこの場で同時に生成 (RSA 2048ビット。CAによっては4096ビット指定もあり)
• -sha256: 署名アルゴリズムはSHA-256
• -nodes: 秘密鍵にパスワードをかけない (※ACMは 暗号化された秘密鍵を受け付けない ので、Amplify用途ではこの指定がほぼ必須)
• -keyout: 秘密鍵の出力先
• -out: CSRの出力先
• -subj: サブジェクト情報を一行で渡す

CAの規約によっては OU を使うとリジェクトされる ことや、組織名の文字数制限(64文字以内など)があるので、申請書類を必ず読んでから流しましょう。

-text -noout は 「中身を人間が読める形式で表示し、エンコード済みデータ(BASE64)は出力しない」 というオプションです。「Subject:」の行に、入力したサブジェクトが正しく入っているかをここでチェックしておきます。

⚠️ 秘密鍵 (private.key) は 絶対にGit管理しない こと。.gitignore に *.key *.pem infra/certs/ などを入れておきましょう。万一漏れたら、その時点で証明書は失効申請＋再発行になります 😱。

CSRをCAに提出すると、後日 サーバー証明書 (server.cer)、中間CA証明書 (intermediate.cer)、ルート証明書 (root.cer) の3つが払い出されます。次のステップからはこの3つを使っていきます。

ACMは PEM形式のみ を受け付けます。.cer という拡張子のファイルでも、中身は PEM(テキスト) か DER(バイナリ) の2種類があるので、まず確認が必要です。

• -----BEGIN CERTIFICATE----- と表示される → PEM形式 (そのまま使えます)
• 文字化けやバイナリ表示 → DER形式 (変換が必要)

PEMは -----BEGIN ...----- -----END ...----- で囲まれたBASE64のテキスト、DERはそのバイナリ版、というシンプルな違いです。

DER形式だった場合は、OpenSSLでPEMに変換します。

変換後、念のためもう一度 head -1 server.pem で -----BEGIN CERTIFICATE----- を確認しておくと安心です。

秘密鍵も同様にチェックします。

ENCRYPTED という単語が見えたら暗号化されている状態です。ACMにそのまま渡すと弾かれるので、復号しておきましょう。

💡 「ENCRYPTED PRIVATE KEY でもACM側で復号してくれないの？」と思いがちですが、AWSの仕様で 暗号化された鍵は明示的に拒否 されます。これはセキュリティ上の理由なので諦めて事前に復号しましょう。

ACMにインポートするときは、

• サーバー証明書 (チェーンに含めない、別パラメータで渡す)
• チェーン証明書 (中間CA → ルートCA の順に結合)
• 秘密鍵

の3点セットが必要です。

ACMの仕様上、サーバー証明書は --certificate で、その上位の中間CA・ルートは --certificate-chain で 別パラメータとして渡す 設計になっています。チェーンにサーバー証明書を含めてしまうと「このサーバー証明書を、その上位のサーバー証明書(？)で検証しよう」という意味不明な処理になり、エラーになります。

ハマりやすいのが「チェーンの順序」です。直前の証明書を認証する側を後ろに置く のが原則なので、中間CA → ルート の順で連結します。

ここで地味にやらかしやすいのが 改行問題 です。次の2パターンでチェーンが壊れます。

1. 末尾改行(LF)が無いPEM: cat で連結したときに -----END CERTIFICATE----------BEGIN CERTIFICATE----- のように 2つの証明書が同じ行にくっついて しまい、PEMとしてパースできなくなります。CAから払い出されたファイルは末尾の改行が抜けていることが地味によくあります
2. CRLF混入: Windows経由で受け取ったファイルだと改行が \r\n になっていて、 OpenSSL や ACM が予期せぬ挙動をすることがあります

どちらも症状はだいたい同じで、ACMインポート時に Could not parse certificate というエラーで弾かれます。

cat する 前 に、各PEMファイルを以下のコマンドで整形しておきましょう。

整形が済んだら、改めて cat intermediate.pem root.pem > infra/certs/stg/chain.pem を流し直してください。念のため、結合後のチェーンファイルも目で確認しておくと安心です。

-----END CERTIFICATE----------BEGIN CERTIFICATE----- のように同じ行に並んでいたらアウトなので、ファイルを整形し直して cat をやり直しましょう 🙏。

2 と返ってくればOKです。1 だったらルートが抜けていたり、3 だったらサーバー証明書が混ざっていたりするので見直しましょう。

💡 CAによっては クロスルート用の中間証明書が複数枚 払い出されることがあります。その場合は 2 以上になることもあるので、CAから提供されたインストールマニュアルに従ってください。

ここが地味に大事なステップです。発行された証明書と、自分が生成した秘密鍵が 本当にペアになっているか を確認します。

「CSRを送るときに使った秘密鍵」と「ACMにインポートするときに渡す秘密鍵」が 別物だと、インポートは成功してもブラウザでHTTPS接続が確立できません。CSRから派生した公開鍵と秘密鍵がペアじゃないと、TLSハンドシェイクで「お前の出してきた証明書と署名鍵、合ってないやん」となるためです。

RSA鍵ペアは、 modulus (係数 n) という数値が公開鍵と秘密鍵で完全に一致します。これをMD5ハッシュで比較すれば、ペアかどうか判定できます。

2つの openssl md5 の結果が 完全に同じハッシュ値 になればペア成立です。一致しないと、Step 4のACMインポートで Certificate and private key do not match というエラーで弾かれます。

僕も最初、CSR生成時の秘密鍵と別ディレクトリで作業していて、別の鍵をインポートしてしまい「えっ？？同じやろ？」と30分くらい溶かしました 😅。秘密鍵のファイル管理は CSR生成のディレクトリから動かさない くらい慎重にやった方がいいです。

💡 ECC(楕円曲線暗号)の証明書を使う場合は modulus ではなく pub を比較する必要があります。openssl ec -in key.pem -pubout などで公開鍵を抽出してハッシュ比較してください。今回はRSA前提で進めます。

ここがこの記事のキモです。

Amplify Hostingは内部的にCloudFrontを使っていて、 CloudFrontから参照できるACM証明書は us-east-1 (バージニア北部) リージョンに置かれているもののみ という仕様があります。

東京リージョンに入れても、Amplifyからは 「そんな証明書知らないよ」 という扱いになるので、ここは固定で us-east-1 です。これ、知らないとけっこう罠です。

ポイント:

• ✅ fileb:// を使う: file:// だとAWS CLIがUTF-8でパースしようとして壊れることがあります。fileb:// はバイナリとしてそのまま読み込んでくれる安全側
• ✅ --region us-east-1 必須: デフォルトプロファイルが東京でも明示すること
• ✅ タグを付ける: 後から「どの環境のどのドメイン用？」が分からなくなりがちなので、Environment・Project・Domainの3点は最低でも付けておくのがおすすめ

この CertificateArn は必ず控えてください。Step 5でTerraformの変数に渡します。

期待される出力:

Status が ISSUED、Type が IMPORTED になっていれば成功です。InUseBy はまだ空配列で大丈夫(Step 6でAmplifyと紐付くと埋まります)。

ACMにインポートできたら、あとはTerraform側でAmplifyにこの証明書を紐付けるだけです。

ポイントは2つ。

1. ACM参照用に us-east-1 のプロバイダ別名(alias) を用意する
2. aws_amplify_domain_association の certificate_settings ブロックで type = "CUSTOM" を指定する

Terraformでは、デフォルトプロバイダは1リージョンに固定されます。証明書だけ別リージョン(us-east-1)を見たいので、 alias 付きのプロバイダ を追加します。

ACMには既にCLIでインポート済みなので、Terraform側は データソース or ARN参照 で十分です。今回はARNを変数で受け取るシンプル構成にします。

providers = { aws = aws.us_east_1 } を渡すのを忘れると、デフォルトプロバイダ(東京)で証明書を探そうとして「そんなARNねえよ」エラーになります。地味に詰まりやすいので注意 ⚠️。

ここが一番重要なブロックです。

certificate_settings ブロックの挙動:

type = "CUSTOM" を指定するときは custom_certificate_arn の指定が必須です。

⚠️ certificate_settings ブロックは terraform-provider-aws v5.57.0 以降 で導入されました。古いバージョンだと An argument named "certificate_settings" is not expected here. というエラーで落ちます。詰まったらまずプロバイダ版数を疑ってください。

Step 4で控えたARNをここに入れます。

💡 terraform.tfvars は環境ごとに変わる値を入れる場所です。STGとprodで別ファイルにする(stg.tfvars / prod.tfvars)か、 環境ごとのディレクトリ(infra/environments/stg/)で分けるのが一般的です。

あとは流すだけです。

planで以下のような変更が出るはずです。

• module.acm — ACM証明書のデータソース参照
• aws_amplify_domain_association.custom — Amplifyへのカスタムドメイン紐付け(create)

apply完了後、Amplify側のドメイン紐付けは PENDING_VERIFICATION ステータスでスタートします。次のStep 7でDNSレコードを設定すると、これが AVAILABLE に変わります。

terraform apply が完了すると、Amplifyから DNS検証用のCNAME値 が返ってきます。マネジメントコンソールでも確認できますが、CLIでも取れます。

返ってきたCNAMEレコードをDNSプロバイダ(Route 53、お名前.com、社内DNSなど)で設定します。

DNSもTerraformで管理しているなら、こんな感じでサクッと書けます。

「your-app.example.com じゃなくて、 example.com をそのままAmplifyに当てたい」という場合、 Apexドメインに直接CNAMEは設定できない というDNSの仕様があります(RFC違反)。

その場合は、

• ✅ Route 53の ALIAS レコード(Amazon独自拡張)を使う
• ✅ DNSプロバイダのANAME / CNAMEフラットニングを使う
• ✅ 1階層下の www.example.com 側に設定して、apexからリダイレクト

のいずれかで回避します。Amplifyは内部的にCloudFrontなのでALIASターゲット指定もできますが、ホストゾーンIDが特殊なので公式ドキュメントを見て設定してください。

ドメイン検証が通るまでは 24〜48時間 くらいかかることもあります。気長に待ちましょう ☺️。

Status が AVAILABLE になったら、 本当に自前の証明書がブラウザに見えているか を確認します。ここを省くとリリース後に「あれ？？AmplifyのデフォルトでHTTPSになってるけど…」みたいな取り違えが発生します(やりがち)。

https://your-app.example.com をブラウザで開いて、 アドレスバーの鍵マーク → 証明書を表示 から発行者(Issuer)を確認します。CSR申請したCAの名前が出ていればOKです。

CLIで突き合わせるなら、これが一番早いです。

期待される出力:

issuer が指定したCAになっていることと、 subject のCNが自分のドメインになっていればバッチリ ✅。

HTTP/2 200 (or 301/302) が返ってきて、 subject: issuer: の値が想定通りなら通信成立です。

冒頭でも触れましたが、 インポート証明書はACMが自動更新してくれません 😇。期限切れに気付かないとサービス停止につながるので、必ず監視を入れておきましょう。

幸い、ACMは DaysToExpiry というCloudWatchメトリクスを自動で出してくれます。これにアラームを仕込むだけで、最低限の備えになります。

💡 SNSのEmailサブスクリプションは 登録後に確認メールが届いて、リンクをクリックして承認するまで通知が飛びません。apply 後にメールチェックを忘れずに 🙏。Slackに飛ばしたいなら ChatBot or Lambda 経由で。

最後に、僕が実際にぶつかったエラーと、その原因・対処をまとめておきます。

ACMインポート時に出る一番多いやつです。

• 原因: 渡している秘密鍵が、サーバー証明書のCSR時に生成した鍵と別物
• 対処: Step 3のmodulus比較に戻って、ペアの整合性を確認。CSR生成時のディレクトリの秘密鍵をそのまま使う

証明書のフォーマット系エラー。

• 原因: DER形式のまま渡した / 改行コードがCRLF混入 / BEGIN/ENDタグ抜け
• 対処: head -1 server.cer でPEMかDERか確認、dos2unix でLFに統一、openssl x509 -in server.pem -text -noout でパース可能か確認

Terraform applyで出るやつ。

• 原因: AWS Providerのバージョンが古い(< v5.57.0)
• 対処: versions.tf で version = "~> 5.57" 以上に上げて terraform init -upgrade

DNS検証が通らないやつ。

• 原因: CNAMEが間違っている / TTL長すぎ / 中間DNSキャッシュ
• 対処: dig や nslookup で実際にCNAMEが返ってくるか確認、TTLを短く(60〜300)、aws amplify get-domain-association で期待値との差分確認

接続時の証明書チェーン不備。

• 原因: チェーンファイルから中間CAが抜けている / 順序が逆
• 対処: openssl s_client -connect ... -showcerts で実際にサーバから返るチェーンを確認、chain.pem を作り直してACMを再インポート

certificate_settings ブロック関連で稀に出ます。

• 原因: 既存のドメイン関連付けに対して type の変更を試みた
• 対処: 一度 terraform destroy ではなく、AmplifyコンソールからDomainを外し、Terraform側でも一度 terraform state rm aws_amplify_domain_association.custom してから再apply

今回は AWS Amplify Hosting に自前のSSL/TLS証明書を持ち込む方法を、CSR作成から動作確認・有効期限監視まで一気通貫で紹介しました。

ポイントを振り返ると：

• 証明書は「サーバ + 中間CA + ルートCA」のチェーン構造: ACMインポート時はこれを正しく分解して渡す
• インポート証明書はus-east-1のACMに置く (Amplify/CloudFrontから参照されるリージョン)
• チェーンの順序と秘密鍵の整合性を事前にOpenSSLで検証する (modulus比較)
• Amplify側は certificate_settings { type = "CUSTOM" } でACMのARNを参照する
• 自動更新されないので、CloudWatchの DaysToExpiry メトリクスで期限監視を仕込む
• 適用後は openssl s_client や curl -v でブラウザ視点の挙動を確認する

「Amplifyのカスタム証明書」って情報がけっこう散らかっていて、ACMドキュメント・Amplifyドキュメント・Terraformドキュメントを行き来する必要があったので、自分の整理も兼ねて記事にしました。同じような構成で困っている方の参考になれば幸いです。

より良い方法・もっとシンプルな構成があれば、ぜひ教えてください〜🙇‍♂️

最後まで読んでいただきありがとうございます！

気ままにつぶやいているので、気軽にフォローをお願いします！🥺

• Using SSL/TLS certificates - AWS Amplify Hosting
• Certificate and key format for importing - ACM
• Import a certificate - ACM
• aws_amplify_domain_association - Terraform Registry
• Bring your own SSL certificate to AWS Amplify Hosting
• Supported CloudWatch metrics for AWS Certificate Manager
• RFC 5246 - The Transport Layer Security (TLS) Protocol