あまりないケースだとは思うのですが、TLS終端を自社の管理内でやって、TLS終端したアクセスをSaaSにリクエストを転送する、ということが必要になったので実施したことを書きます。

※いやそんな場合普通ないでしょ、と思うでしょうが具体的な例として、SaaSでメルマガのURLのクリックカウントサービスを使っていて、その相手先のサーバでのTLS終端のために認証鍵を受け渡しするという煩雑な作業があり、そんなことはやめて自社でTLS終端して完結したい〜という場合があったのです…

TLS終端のやり方は複数あります。

• 自社のサーバでロードバランサを構築する
• AWSなどでNLBやALBといったLBaaSを使う
• AWSなどでCDNを使う

今回はCDN(CloudFront)でTLS終端することにしました。自社管理サーバ増やしたくない(メンテナンスフリーにしたい)な…という気持ちがあったのと、NLBやALBは原則転送先も同じVPCである必要があるため今回の用途には合わないからです。

CloudFront使うとコストかかるんじゃないの、という懸念はあると思いますが、CloudFrontってリクエスト数とアウトプットのデータでの従量課金なので、今回の用途では低コストで導入できるはずです。(めっちゃくちゃクリックカウントが増えない限り)

やったことはかんたんなので箇条書きで書きます。

(転送元の自社ドメインをex.mydomain.comとします)

• CloudFrontディストリビューションを作る
  • オリジンはクリックカウントの相手先ドメイン(IPアドレスは使えません)
  • マッチビューワー(80番ポートも443ポートも受け付ける)
  • SSL終端する。AWS Certificate Managerに登録している証明書(例: *.mydomain.com)を使う
    • 今回は登録済みのワイルドカード証明書を使いました
  • 代替ドメインに自社ドメイン(ex.mydomain.com)を設定
  • ビヘイビア
    • キャッシュしない(CachingDisabled)
    • オリジンリクエストポリシーはパラメータ全転送(AllViewer)
• ex.mydomain.com のドメインでCNAMEを↑で作ったディストリビューション(***.cludfront.net)にする

これでOKでした。ノーメンテで障害にも強いTLS終端するだけのディストリビューションが爆誕しました。

このような対応をすることはレアだとは思いますが、こういったレアなものほど文献はないので、誰かの参考になりますように。