クラウドインフラの管理において、SSL証明書の発行・更新・設定作業はセキュリティの要でありながら、手動で行うには煩雑でミスも起こりやすい工程です。
近年では、Terraformを使ったインフラ構成のコード化(IaC)が進み、SSL証明書の設定もスクリプト化して自動化することが可能になりました。
この記事では、Terraformの基本からSSL証明書設定の自動化の流れまでを、初心者向けにやさしく解説します。
Terraformとは?
Terraformは、HashiCorp社が開発したインフラ構成をコードで管理するツール(Infrastructure as Code)です。AWSやGCP、Azureなどのクラウドサービスを、プログラムで作成・管理・変更・削除できます。
特徴
- 宣言型構文(HCL言語)で直感的に記述
- Gitで管理可能=変更履歴が残せる
- 複数環境(dev/stg/prod)の再現が簡単
- 手作業のミスを排除し、再現性の高い運用が可能
SSL証明書の自動化が必要な理由
SSL証明書は、期限切れによるセキュリティ事故や、発行・設置の手間がよく問題になります。
手動管理のリスク
- 証明書の有効期限に気づかず、サイトがダウン
- ステージング・本番環境で設定ミス
- 同一設定の複製・再構築に時間がかかる
Terraformを使えば、これらの問題を自動化・構成の再利用・状態の一元管理によって解決できます。
TerraformでSSL証明書を管理する主な方法
✅ 1. AWS Certificate Manager(ACM)との連携
ACMを使えば、AWS環境でSSL証明書の発行・更新が自動で行えます。Terraformからこのプロセスを定義すれば、ロードバランサーやCloudFrontに証明書を自動設定することも可能です。
サンプルコード:
hclresource "aws_acm_certificate" "example" {
domain_name = "example.com"
validation_method = "DNS"
}
resource "aws_route53_record" "validation" {
name = aws_acm_certificate.example.domain_validation_options[0].resource_record_name
type = aws_acm_certificate.example.domain_validation_options[0].resource_record_type
zone_id = "Z1234567890"
records = [aws_acm_certificate.example.domain_validation_options[0].resource_record_value]
ttl = 60
}
✅ 2. Cloudflareの証明書管理と連携
CloudflareのSSL設定もTerraformで管理可能です。独自証明書のアップロードや、SSL/TLSモード(フル、フレキシブルなど)の変更もコード化できます。
例:
hresource "cloudflare_zone_settings_override" "example" {
zone_id = "your-zone-id"
settings {
ssl = "strict"
}
}
✅ 3. Kubernetes + cert-manager連携
Kubernetes環境では、cert-manager と Terraform Provider を使えば、Let’s Encrypt での証明書発行 → 自動更新 → Ingress への設定までを一貫して自動化できます。
手順概要:
- cert-managerをKubernetesにインストール
- TerraformでClusterIssuerやCertificateを定義
- Ingressに自動バインド
例:
hclresource "kubernetes_manifest" "cluster_issuer" {
manifest = {
apiVersion = "cert-manager.io/v1"
kind = "ClusterIssuer"
metadata = {
name = "letsencrypt-staging"
}
spec = {
acme = {
email = "admin@example.com"
server = "https://acme-staging-v02.api.letsencrypt.org/directory"
privateKeySecretRef = {
name = "letsencrypt-staging"
}
solvers = [{
http01 = {
ingress = {
class = "nginx"
}
}
}]
}
}
}
}
運用のヒントと注意点
| 項目 | 内容 |
|---|---|
| 有効期限管理 | ACMやLet’s Encryptは自動更新対応。Terraformで更新通知は別途必要 |
| Terraformの状態ファイル | 機密情報が含まれるため、S3+KMSなどで安全に管理 |
| CI/CDとの統合 | GitHub ActionsやGitLab CIで terraform apply を自動化 |
| 環境の分離 | dev / staging / production 環境を workspace や変数で分けて管理 |
よくある質問(FAQ)
Q. 既存の証明書をTerraformで管理できますか?
→ Yes。terraform import コマンドで既存リソースを取り込めます。
Q. 手動更新との併用は?
→ 基本的にはTerraformに一元化することが推奨されます。手動更新は状態とズレが出る可能性があります。
Q. Let’s EncryptのRate Limitに注意?
→ 開発ではステージング環境(ACME staging URL)を使用してください。
まとめ
SSL証明書は、セキュリティの基礎であると同時に、設定ミスや期限切れによる事故が多い領域でもあります。Terraformを活用すれば、証明書の発行・設定・更新・管理をすべてコード化でき、手間やミスを減らし、再現性の高い安全な運用が実現できます。
手動から自動へ――SSL管理もインフラも、コードで守る時代です。
