Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ALB「証明書上限問題」からの脱却
Search
muso
January 16, 2026
Technology
0
290
ALB「証明書上限問題」からの脱却
Road to SRE NEXT 2026 @京都の発表資料
muso
January 16, 2026
Tweet
Share
More Decks by muso
See All by muso
Railsアプリの画像配信最適化 - Imgproxyを活用したパフォーマンス改善事例
nishiokashinji
0
34
Other Decks in Technology
See All in Technology
AIエンジニア Devin と歩む、自律型運用プロセスの構築
a2ito
0
690
EMからVPoEを経てCTOへ:マネジメントキャリアパスにおける葛藤と成長
kakehashi
PRO
7
870
Evolution of Claude Code & How to use features
oikon48
1
240
プロジェクトマネジメントをチームに宿す -ゼロからはじめるチームプロジェクトマネジメントは活動1年未満のチームの教科書です- / 20260304 Shigeki Morizane
shift_evolve
PRO
1
110
研究開発部メンバーの働き⽅ / Sansan R&D Profile
sansan33
PRO
4
22k
Contract One Engineering Unit 紹介資料
sansan33
PRO
0
14k
Introduction to Sansan for Engineers / エンジニア向け会社紹介
sansan33
PRO
6
72k
Kaggleの経験が実務にどう活きているか / kaggle_findy
sansan_randd
4
760
vLLM Community Meetup Tokyo #3 オープニングトーク
jpishikawa
0
110
大規模な組織におけるAI Agent活用の促進と課題
lycorptech_jp
PRO
6
7.8k
Lookerの最新バージョンv26.2がやばい話
waiwai2111
1
150
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
15
95k
Featured
See All Featured
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
280
How GitHub (no longer) Works
holman
316
140k
jQuery: Nuts, Bolts and Bling
dougneiner
65
8.4k
Highjacked: Video Game Concept Design
rkendrick25
PRO
1
310
Git: the NoSQL Database
bkeepers
PRO
432
66k
Unlocking the hidden potential of vector embeddings in international SEO
frankvandijk
0
190
Visual Storytelling: How to be a Superhuman Communicator
reverentgeek
2
460
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
240
Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO
greggifford
PRO
0
93
Bash Introduction
62gerente
615
210k
Crafting Experiences
bethany
1
75
Producing Creativity
orderedlist
PRO
348
40k
Transcript
ALB 「証明書上限問題」からの脱却 Road to SRE NEXT 2026 @ 京都 2026/1/16
自己紹介 活動名 無双(@nishi_okashi ) 住まい 兵庫県
前提となるお話 オンラインコミュニティサイト構築アプリ 「独自ドメイン提供」サービス お客様の好きなドメインで運用可能
課題:ALB の限界との戦い 顧客ドメインごとに SSL 証明書が必要 ここでクイズです Q. ALB にアタッチできる証明書の上限は?
A. デフォルト 25 枚
泥沼の戦い 1. 緩和申請で 100 枚 まで増枠 2. 2 台目のALB を投入
3. そして 3 台目 の足音が… 「これ、いつまで続けるの?」
解決策:NLB + Caddy NLB (Network Load Balancer) Caddy Go 製のWeb
サーバー 自動HTTPS 機能が強力
新アーキテクチャ
アーキテクチャのポイント いきなりアプリに繋ぐのではなく、既存ALB を挟む WAF やターゲットグループなどの既存資産を有効活用
移行の課題 「ダウンタイムゼロ」 で切り替えたい 手間なく証明書を発行したい http-01 チャレンジ 移行には DNS 切り替え が必要
しかし切り替え直後は証明書がない → ユーザーは SSL エラー になる
解決策:事前発行トリック 「既存のALB を経由して、新環境の証明書を作 る」 旧環境が稼働したまま、特定のアクセスだけを新環境へ転送するアプ ローチ
None
いざ、切り替え 裏で証明書確保は完了している あとは DNS をNLB へ向けるだけ → ダウンタイムゼロで移行完了!
ところでDNS の話 2 種類の方法で運用
Before: CNAME パターン A レコードはIP アドレスしか設定できない ALB のIP は定期的に変わる AWS
にはエイリアスレコードというものがあり、ALB のドメインを 登録できる 顧客全員がAWS を利用しているわけではない 解決策として弊社側でALB へ転送するドメインを用意し、顧客に CNAME 登録してもらっていた
弊社側 domain type value alb.example.com A ( エイリアスレコー ド) ALB
のデフォルトドメイ ン 顧客側 domain type value community.client.com CNAME alb.example.com これ以外にもACM 検証用のドメインを登録
Before: NS パターン CNAME が登録できない場合(ネイキッドドメイン) 、弊社へNS を向け てもらい、弊社側でレコードを登録していた
弊社側 domain type value client.com A ( エイリアスレコード) ALB のデフォルトドメイン
顧客側 domain type value client.com NS ns-xxx.awsdns-xx.com レコード管理が弊社になるので、レコード追加する必要が出た時、弊 社が対応しないといけない
After: シンプル NLB = Elastic IP ( 固定IP) ドメインの種類に関わらず… 「A
レコードでIP を向けるだけ」 顧客への案内フローが劇的に簡略化!
まとめ 課題: ALB の証明書枚数制限、管理コスト 解決: NLB + Caddy 構成への刷新 工夫:
既存ALB を活用した事前発行トリック 副産物: 固定IP 化で顧客のDNS 設定が単純化 インフラ改善がオンボーディング工数削減に繋 がった!
ご清聴ありがとうございました
nishiokashinji
a2ito
kakehashi
oikon48
shift_evolve
sansan33
sansan_randd
jpishikawa
lycorptech_jp
waiwai2111
oracle4engineer
skipperchong
holman
dougneiner
rkendrick25
bkeepers
frankvandijk
reverentgeek
tammyeverts
greggifford
62gerente
bethany
orderedlist
