Q: AWS Certificate Manager (ACM) とは何ですか?

AWS Certificate Manager により、AWS の各種サービスで使用する Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書のプロビジョニング、管理、およびデプロイを簡単に行えます。SSL/TLS 証明書は、ネットワーク通信を保護し、インターネットでウェブサイトのアイデンティティを確立するために使用されます。AWS Certificate Manager を使用すれば、SSL/TLS 証明書の購入、アップロード、および更新という時間のかかるプロセスを手動で行う必要がなくなります。AWS Certificate Manager を使えば、証明書のリクエスト、および Elastic Load Balancing、Amazon CloudFront ディストリビューション、Amazon API Gateway の API といった AWS のリソースでの証明書のデプロイを簡単に行うことができます。また、証明書は自動的に更新されます。 AWS Certificate Manager でプロビジョニングされた SSL/TLS 証明書は無料です。お支払いいただくのは、アプリケーションを実行するために作成した AWS リソースの料金のみです。

Q: SSL/TLS 証明書とは何ですか?

SSL/TLS 証明書により、Secure Sockets Layer/Transport Layer Security (SSL/TLS) プロトコルを使用した、ウェブブラウザからウェブサイトへの暗号化されたネットワーク接続を特定および確立できます。証明書は、公開鍵基盤 (PKI) と呼ばれる暗号化システム内で使用されます。PKI では、双方が認証機関と呼ばれるサードパーティを信頼している場合に、証明書を使用して一方から他方のアイデンティティを確立する方法となります。詳細な背景情報と定義については、ACM ユーザーガイドの概念と用語をご覧ください。

Q: AWS Certificate Manager を使うと何ができますか?

SSL/TLS 証明書をリクエストおよびプロビジョニングして、Elastic Load Balancing、Amazon CloudFront、または Amazon API Gateway を使用するサイトやアプリケーションにデプロイできます。 リクエストしたドメインの所有権を証明して、証明書が発行されると、AWS マネジメントコンソールのドロップダウンリストで SSL/TLS 証明書を選択して、デプロイできるようになります。 または、AWS コマンドラインインターフェイス (CLI) コマンドまたは API 呼び出しを使用して、ACM によって提供される証明書を AWS リソースにデプロイすることもできます。 ACM では、証明書の更新とデプロイが自動的に管理されます。

Q: AWS Certificate Manager を使用する利点は何ですか?

ACM を使用すると、AWS プラットフォームで運用されているウェブサイトやアプリケーションに対して、SSL/TLS を簡単に有効にできます。SSL/TLS の使用や SSL/TLS 証明書の管理に関連するプロセスの多くを手動で実行する必要がなくなるほか、更新が管理されるため、証明書の設定ミス、失効、期限切れによるダウンタイムをなくすのにも役立ちます。ウェブサイトやアプリケーションが SSL/TLS で保護されるようになり、証明書の管理も簡単になります。SSL/TLS を有効にすることは、サイトの検索ランキングを向上させ、転送中のデータの暗号化に関する規制やコンプライアンスの要件を満たすのにも役立ちます。

ACM を使用する場合、証明書のプライベートキーは、強力な暗号化とキー管理に関するベストプラクティスによって安全に保護および保存されます。ある AWS リージョンで AWS Certificate Manager により提供されたすべての SSL/TLS 証明書は、AWS マネジメントコンソール、AWS CLI、AWS Certificate Manager API を使用して集中管理できます。AWS Certificate Manager は AWS の他のサービスと統合されているため、AWS マネジメントコンソール、AWS CLI コマンド、または API 呼び出しを使って、SSL/TLS 証明書をリクエストし、Elastic Load Balancing のロードバランサーや Amazon CloudFront ディストリビューションでプロビジョニングできます。

Q: ACM の使用を開始するにはどうすればよいですか?

AWS Certificate Manager の使用を開始するには、AWS マネジメントコンソールの [Certificate Manager] を開いてウィザードを実行し、サイトの名前を入力して、SSL/TLS 証明書をリクエストします。証明書リクエストに AWS CLI や AWS API を使用することもできます。ACM がドメイン所有者からの承認を受けて SSL/TLS 証明書が発行された後、ACM と統合されている他の AWS が提供するサービスでその証明書を使用できます。必要な操作は、AWS マネジメントコンソールのドロップダウンリストで使用する SSL/TLS 証明書を選択することのみです。 または、AWS CLI コマンドを実行するか AWS API を呼び出して、リソースに証明書を関連付けることもできます。 その後、AWS Certificate Manager により、選択したリソースに証明書がデプロイされます。AWS Certificate Manager により提供される証明書をリクエストして使用することに関する詳細については、AWS Certificate Manager ユーザーガイドの開始方法をご覧ください。

Q: ACM で提供される証明書の種類はどのようなものですか?

ACM で提供されるのは、SSL/TLS の終端となるウェブサイトやウェブアプリケーションで使用する、ドメイン検証済み (DV) 証明書です。ACM により提供される証明書の詳細については、証明書の特性をご覧ください。

Q: ACM により提供された証明書を使用できるのは、AWS のどのサービスですか?

ACM は AWS の以下のサービスと連携できます。
• Elastic Load Balancing – Elastic Load Balancing のドキュメントを参照してください。
• Amazon CloudFront – CloudFront のドキュメントを参照してください。
Amazon API Gateway – API Gateway のドキュメントを参照してください。
• AWS Elastic Beanstalk – AWS Elastic Beanstalk のドキュメントを参照してください。

Q: ACM により提供された証明書は政府機関に対して適切ですか?

ACM の証明書は、一部の政府機関に対しては適切ですが、その他の政府機関には適切でない場合があります。ACM の証明書が適切かどうかを判断するために、現地の法律、規則、および規制を確認してください。 ご不明な点がありましたら、AWS サポートセンターにアクセスして、サポートケースを作成してください。

Q: ACM はどのリージョンで利用できますか?

AWS の各サービスを現在利用できるリージョンについては、AWS グローバルインフラストラクチャのページをご覧ください。Amazon CloudFront で ACM の証明書を使用するには、米国東部 (バージニア北部) リージョンでリクエストまたはインポートする必要があります。CloudFront ディストリビューションに関連付けられたこのリージョンでの ACM の証明書は、お客様のディストリビューションに設定されたすべての地理的場所に配信されます。

Q: 複数の AWS リージョンで同じ証明書を使用できますか?

Elastic Load Balancing または Amazon CloudFront の使用の有無によって異なります。証明書を異なるリージョンにある同じサイト (完全修飾ドメイン名、つまり 1 つまたは一連の FQDN が同じ) に対して Elastic Load Balancing とともに使用する場合、使用するリージョンごとに新しい証明書をリクエストすることが必要になります。そのためには、新しいリージョンごとの証明書に記載されたそれぞれの名前を再検証する必要があることにご注意ください。Amazon CloudFront で ACM の証明書を使用するには、米国東部 (バージニア北部) リージョンでリクエストする必要があります。CloudFront ディストリビューションに関連付けられたこのリージョンでの ACM の証明書は、お客様のディストリビューションに設定されたすべての地理的場所に配信されます。

Q: リージョン間で証明書をコピーできますか?

現時点ではありません。

Q: 同じドメイン名について別のプロバイダーから証明書を既に取得している場合、ACM で証明書をプロビジョンできますか?

はい。

Q: Amazon EC2 インスタンスや自分のサーバーに証明書を使用できますか?

いいえ。現在のところ、ACM により提供される証明書は、AWS の特定のサービスのみで使用できます。ACM により提供された証明書を使用できるのは、AWS のどのサービスですか? をご覧ください。

Q: ACM でプロビジョニングできる証明書の数に制限はありますか?

デフォルトでは、各リージョンでアカウントごとに最大 100 件の証明書をプロビジョニングできます。ACM でプロビジョニングされる各証明書の完全修飾ドメイン名の最大数は 10 個です。AWS サポートセンターで制限の引き上げをリクエストできます。詳細については、AWS ドキュメントを参照してください。

先頭に戻る

Q: ACM で証明書をプロビジョニングするにはどうすればよいですか?

AWS マネジメントコンソール、AWS CLI、ACM API/SDK を使用できます。AWS マネジメントコンソールを使用するには、コンソールの ACM の部分を開いて [Request a Certificate] を選択し、サイトのドメイン名を入力してから、画面の指示に沿ってリクエストを実行します。サイトにアクセスする際に使用できる別のドメイン名があれば、リクエストにそのドメイン名を追加できます。証明書発行の承認をリクエストする E メールがドメイン所有者に送信されます。リクエストしたドメイン名それぞれに対する承認をドメイン所有者から受け取った後、証明書が発行され、Elastic Load Balancing や Amazon CloudFront といった AWS の他のサービスでプロビジョニングできるようになります。詳細については、ACM のドキュメントを参照してください。

Q: 証明書が発行されるのに必要な時間はどれくらいですか?

ドメイン所有者またはドメイン所有者から権限を受けた代表者から承認を受け取った後、証明書が発行されるまでに必要な時間は、通常 2 分ほどですが、それより長くかかる場合もあります。詳細については、ACM で証明書をプロビジョニングするにはどうすればよいですか? をご覧ください。

Q: 証明書をリクエストするとどのように処理されますか?

リクエストした証明書に含まれているすべてのドメイン名をお客様が制御していることを検証するため、証明書リクエストに記載された各ドメイン名について、登録されたドメイン所有者に E メールが送信されます。ドメイン所有者か権限を受けた代表者が証明書リクエストを承認するまで、証明書リクエストのステータスは Pending validation になります。ドメイン所有者か権限を受けた代表者 (承認者) は、E メールに記載された指示に沿って、証明書リクエストを承認できます。承認者は、指示に沿って、E メールに記載されているリンクをクリックするか、E メールからリンクをコピーしてブラウザ貼り付け、承認ウェブサイトを開きます。その後、ドメイン名、証明書 ID (ARN)、リクエスト実行元の AWS アカウントの ID など、証明書リクエストに関連する情報を確認し、情報が正確であればリクエストを承認します。証明書リクエストに記載されているドメイン名がすべて承認された後、通常 2 分ほどで証明書が発行され、証明書リクエストのステータスが Issued に変わります。証明書が発行されたら、他の AWS が提供するサービスで証明書を使用することができます。

Q: 承認リクエストの送信先となるのはどの E メールアドレスですか?

証明書をリクエストすると、証明書リクエストに記載された各ドメイン名に対して WHOIS ルックアップが実行され、そのドメインの連絡先情報が取得されます。E メールはそのドメインの登録者、管理者、および技術担当者の連絡先に送信されます。お客様によってリクエストされたドメイン名の前に admin@、administrator@、hostmaster@、webmaster@、および postmaster@ を付加して生成された 5 つの特別なメールアドレスにも E メールが送られます。例えば、server.example.com の証明書をリクエストした場合、E メールの送信先は、その example.com ドメインに対する WHOIS クエリで返された連絡先情報を使用するそのドメインの登録者、技術担当者、管理者の連絡先、admin@server.example.com、administrator@server.example.com、hostmaster@server.example.com、postmaster@server.example.com、および webmaster@server.example.com となります。

5 つの特別な E メールアドレスは、"www" で始まるドメイン名またはアスタリスク (*) で始まるワイルドカード名で構成されます。ACM によって先頭の "www" またはアスタリスクは除去され、E メールは残りのドメイン名の先頭に admin@、administrator@、hostmaster@、postmaster@、および webmaster@ が追加されて作成された管理アドレスに送信されます。例えば、www.example.com の証明書をリクエストした場合、E メールは前に説明しているように WHOIS の連絡先と、admin@www.example.com の代わりに admin@example.com に送信されます。残りの 4 つの特別な E メールアドレスも同様に構築されます。

証明書をリクエストした後、ACM コンソール、AWS CLI、AWS API を使用して、各ドメインに関する E メールの送信先となった E メールアドレスのリストを表示できます。

Q: 証明書の承認リクエストの送信先となる E メールアドレスを設定できますか?

いいえ。ただし、検証メールの送信先とするベースドメイン名を設定することはできます。ベースドメイン名は、証明書リクエストに記載されたドメイン名のスーパードメインである必要があります。例えば、server.domain.example.com の証明書をリクエストする場合、AWS CLI や AWS API を使用して、承認メールを admin@domain.example.com に転送するよう設定できます。詳細については、ACM CLI リファレンスおよび ACM API リファレンスをご覧ください。

Q: プロキシの連絡先情報があるドメイン (Privacy Guard、WhoisGuard など) を使用できますか?

はい。ただし、プロキシにより E メールの配信が遅れる可能性があります。また、プロキシ経由で送信される E メールは、迷惑メールフォルダに分類される可能性があります。トラブルシューティングのアドバイスについては、ACM ユーザーガイドを参照してください。

Q: ACM では、AWS アカウントの技術担当者の連絡先を使用してアイデンティティを検証できますか?

いいえ。ドメイン所有者のアイデンティティを検証するための手順とポリシーは非常に厳格で、公的に信頼されている認証機関のポリシー基準を設定する CA/ブラウザフォーラムにより決定されています。詳細については、Amazon Trust Services リポジトリにある最新の Amazon Trust Services 認定施策書を参照してください。

Q: 証明書リクエストのステータスが "Pending validation" なのはどうしてですか?

証明書がリクエストされたものの、まだ承認されていない場合、ステータスは Pending validation になります。ドメイン所有者か権限を受けた代表者が証明書リクエストを承認しなければ、証明書は発行されません。

Q: 検証と承認の E メールが送られてこない場合、どうすればよいですか?

トラブルシューティングのアドバイスについては、ACM ユーザーガイドを参照してください。

Q: 証明書リクエストのステータスに Failed と表示されるのはどうしてですか?

何らかの理由で、ドメイン制御の検証プロセスに失敗した可能性があります。リクエストが失敗する理由はさまざまですが、マルウェアやフィッシングコンテンツが含まれると考えられるウェブリソースのドメインが URL のリストに記載されている場合などがあります。リクエストが失敗した理由を確認するには、ACM トラブルシューティングガイドを参照してください。

Q: 証明書リクエストのステータスに Validation timed out と表示されるのはどうしてですか?

72 時間以内に検証されない場合、ACM の証明書リクエストはタイムアウトになります。トラブルシューティングのアドバイスについては、ACM ユーザーガイドを参照してください。

Q: ドメインの検証や証明書の認証に利用できる他の方法はありますか?

現時点ではありません。

                                                                 先頭に戻る >>

Q: ACM により提供される証明書は、ブラウザ、オペレーティングシステム、およびモバイルデバイスで信頼されますか?

ACM により提供される証明書は、最新のブラウザ、オペレーティングシステム、およびモバイルデバイスのほとんどで信頼されます。ACM により提供される証明書は、Windows XP SP3 以降、Java 6 以降を含む、99% のブラウザとオペレーティングシステムで利用されています。

Q: ACM により提供される証明書がブラウザで信頼されていることを確認するにはどうすればよいですか?

ブラウザで ACM により提供される証明書が信頼されている場合、ACM により提供されている証明書を使用して SSL/TLS 経由で (例えば、HTTPS を使用して) サイトに接続すると、ロックアイコンが表示されます。また、証明書の警告が表示されません。

ACM により提供される証明書は、Amazon の認証機関 (CA) により確認されています。Amazon Root CA 1、Starfield サービスルート認証機関証明書 – G2 または Starfield クラス 2 ルート認証機関証明書がインストールされているブラウザ、アプリケーション、OS では、ACM により提供される証明書が信頼されます。

Q: ACM により提供される証明書に複数のドメイン名を含めることはできますか?

はい。各証明書には少なくとも 1 つのドメイン名が含まれている必要がありますが、必要な場合はさらにドメイン名を追加できます。例えば、両方のドメイン名でサイトにアクセスできるならば、"www.example.com" の証明書に "www.example.net" というドメイン名を追加できます。証明書リクエストに含まれるドメイン名すべてを所有または制御している必要があります。

Q: ワイルドカードドメイン名とは何ですか?

ワイルドカードドメイン名のワイルドカードは、ドメインの一番左のサブドメイン (ホスト名) に一致します。一番左のサブドメインは、ドメイン名の単一のラベルで、ピリオド (ドット) は含みません。例えば、*.example.com というドメイン名を使用すると、www.example.com、images.example.com など、任意のホスト名 (一番左のサブドメイン) に .example.com が続くすべてのドメイン名を保護できます。詳細については、ACM ユーザーガイドを参照してください。

Q: ACM により提供される証明書にワイルドカードドメイン名を含めることができますか?

はい。

Q: 組織認証 (OV) や拡張認証 (EV) の証明書は ACM で提供されますか?

現時点では提供されません。

Q: SSL/TLS 以外のウェブサイト向け証明書は ACM で提供されますか?

現時点では提供されません。

Q: ACM により提供された証明書をコード署名や E メールの暗号化に使用できますか?

いいえ。

Q: E メールの署名と暗号化に使用される証明書 (S/MIME 証明書) は ACM で提供されますか?

現時点では提供されません。

Q: ACM により提供される証明書で使用されるアルゴリズムは何ですか?

ACM 証明書では、2048 ビットモジュールの RSA キーと SHA-256 が使用されます。

Q: ACM は楕円曲線 (ECDSA) 証明書に対応していますか?

現時点では対応していません。

Q: Amazon の証明書発行に関するポリシーと施策はどこで説明されていますか?

Amazon Trust Services 証明書ポリシーと Amazon Trust Services 認定施策書のドキュメントで説明されています。最新バージョンについては、Amazon Trust Services リポジトリを参照してください。

Q: 証明書を取り消すにはどうすればよいですか?

AWS サポートセンターにアクセスしてサポートケースを作成することにより、証明書の取り消しを ACM にリクエストできます。 

Q: 証明書の情報が変更された場合、AWS に通知するにはどうすればよいですか?

validation-questions[at]amazon.com に E メールを送信してください。

先頭に戻る >>

Q: ACM により提供される証明書のプライベートキーはどのように管理されますか?

ACM により提供される証明書それぞれについて、キーペアが作成されます。AWS Certificate Manager では、SSL/TLS 証明書で使用されるプライベートキーを保護および管理するよう設計されています。プライベートキーを保護および保存する際には、強力な暗号化とキー管理に関するベストプラクティスが使用されます。

Q: ACM では、証明書が別 のAWS リージョンでもコピーされますか?

いいえ。各 ACM 証明書のプライベートキーは、証明書のリクエスト元のリージョンで保存されます。例えば、バージニア北部リージョンで新しい証明書を取得した場合、プライベートキーはバージニア北部リージョンに保存されます。ACM 証明書が別のリージョンにコピーされるのは、証明書が CloudFront ディストリビューションと関連付けられている場合のみです。この場合、CloudFront により、ディストリビューションの対象として設定されている地理的場所に ACM 証明書が配信されます。

Q: 証明書のプライベートキーの使用状況を監査できますか?

はい。AWS CloudTrail を使用してログを確認すると、証明書のプライベートキーがいつ使用されたかを確認できます。

先頭に戻る >>

Q: ACM 証明書の使用に対する課金と請求はどのように行われますか?

AWS Certificate Manager でプロビジョニング、管理、およびデプロイされた SSL/TLS 証明書は無料です。お支払いいただくのは、Elastic Load Balancing ロードバランサーや Amazon CloudFront ディストリビューションなど、アプリケーションを実行するために作成した AWS リソースの料金のみです。

先頭に戻る >>

Q: 複数の Elastic Load Balancing ロードバランサーや複数の CloudFront ディストリビューションで同じ証明書を使用できますか?

はい。

Q: パブリックなインターネットアクセスのない内部 Elastic Load Balancing ロードバランサーに証明書を使用できますか?

はい。パブリックなインターネットからアクセスできない証明書の更新が ACM で処理される方法の詳細については、更新とデプロイの管理をご覧ください。

Q: www.example.com 向けの証明書は example.com でも機能しますか?

いいえ。www.example.com と example.com の両方のドメイン名によりサイトが参照されるようにするには、両方のドメイン名が含まれる証明書をリクエストする必要があります。

Q: サードパーティの証明書をインポートして AWS の各サービスで使用することはできますか?

はい。Amazon CloudFront や Elastic Load Balancing でサードパーティの証明書を使用する必要がある場合は、AWS マネジメントコンソール、AWS CLI、AWS Certificate Manager API を使って証明書をインポートできます。インポートされた証明書の更新プロセスが ACM で管理されることはありません。 AWS マネジメントコンソールを使ってインポートされた証明書の有効期限をモニタリングし、新しいサードパーティの証明書をインポートして、期限が切れるものと置き換えられます。

Q: ACM により提供された証明書の有効期間はどれくらいですか?

ACM により提供された証明書の有効期間は、現在、13 か月です。

Q: ACM は企業がコンプライアンスの要件を満たすのにどのように役立ちますか?

ACM を使用すると、PCI、FedRAMP、HIPAA といった多くのコンプライアンスプログラムで一般的な要件である安全な接続を促進しやすくなり、企業が規制要件に準拠するのに役立ちます。コンプライアンスに関する具体的な情報については、http://aws.amazon.com/compliance を参照してください。

Q: ACM にサービスレベルアグリーメント (SLA) はありますか?

現時点ではありません。

Q: ACM ではドメイン名に各地の言語の文字 (国際化ドメイン名 (IDN)) を使用できますか?

ACM では、ドメイン名に Unicode でエンコードされた各地の言語の文字を使用することができませんが、ASCII でエンコードされた各地の言語の文字を使用することはできます。

Q: ACM でドメイン名のラベルに使用できる文字形式はどれですか?

ACM でドメイン名に使用できる文字形式は UTF-8 でエンコードされた ASCII のみです。一般に Punycode と呼ばれる "xn–" が付くラベルも使用できます。ACM では、ドメイン名に Unicode 入力 (U ラベル) を使用することはできません。

Q: ACM では、ウェブサイトで表示できるセキュアサイトシールやトラストロゴを利用できますか?

いいえ。サイトシールが必要な場合は、サードパーティベンダーから入手できます。サイトのセキュリティやビジネス慣行またはその両方を評価し、それについて証言してくれるベンダーを選択するようお勧めします。

Q: Amazon の商標やロゴを証明書バッジ、サイトシール、またはトラストロゴとして使用できますか?

いいえ。このようなシールやバッジは、ACM サービスを使用していないサイトにコピーされるおそれや、虚偽の信頼を確立しようとして不適切に使用されるおそれがあります。Amazon のお客様と評価を保護するため、このような方法でロゴを使用することは禁止されています。

 

先頭に戻る >>

Q: AWS CloudTrail ではどのログイン情報を利用できますか?

AWS CloudTrail に対応するサービスの AWS API を呼び出したユーザーやアカウント、呼び出し元であるソース IP アドレス、呼び出しが発生した時間を特定できます。例えば、ACM により提供された証明書を Elastic Load Balancing と関連付ける API 呼び出しを行ったユーザーや、Elastic Load Balancing service で KMS API 呼び出しを使ってキーが暗号化された時間を特定できます。

先頭に戻る >>

Q: ACM により管理される更新とデプロイとは何ですか?

ACM により管理される更新とデプロイでは、ACM により提供された SSL/TLS 証明書の更新プロセス、および更新後の証明書のデプロイプロセスが管理されます。

Q: ACM により管理される更新とデプロイを使用する利点は何ですか?

ACM では、SSL/TLS 証明書の更新とデプロイが自動的に管理されます。ACM により、安全なウェブサービスやアプリケーションに対する SSL/TLS の設定と維持が自動化されるため、エラーが発生しやすい手動プロセスと比較して、運用の信頼性が高まります。更新とデプロイが自動的に管理されることは、証明書の期限切れによるダウンタイムをなくすのにも役立ちます。ACM により管理される更新とデプロイを使用すれば、サイトにソフトウェアクライアントやソフトウェアエージェントをインストールまたは管理する必要がなくなります。代わりに、ACM は、他の AWS が提供するサービスと統合されたサービスとして動作します。つまり、AWS マネジメントコンソール、AWS CLI、AWS API を使用して、証明書を AWS プラットフォームで集中的に管理およびデプロイできることになります。

Q: 自動的に更新およびデプロイできるのは、どの証明書ですか?

ACM では、ACM により提供された証明書を、ドメイン所有者から追加の承認や介入なしで更新およびデプロイできます。追加の承認がないと更新できない証明書については、証明書に記載された各ドメイン名のドメイン所有者に自動的に承認リクエストが送信され、更新プロセスが管理されます。証明書に記載された各ドメイン名が承認されると、証明書が更新され、AWS リソースに自動的にデプロイされます。ドメイン所有者が証明書を承認しない場合、AWS アカウントの所有者にその旨が通知されます。ACM により提供された証明書の更新とデプロイの自動化機能を向上させるには、証明書が使用されていること、および証明書に記載されているすべてのドメイン名がお客様のサイトに解決され、インターネットからアクセスできることを確認してください。

Q: ACM による証明書の更新はいつ行われますか?

ACM では、早い場合、証明書の有効期限切れの 60 日前に更新プロセスが開始されます。ACM により提供された証明書の有効期間は、現在 13 か月です。 更新の自動管理の詳細については、ACM ユーザーガイドを参照してください。

Q: 証明書の更新と新しい証明書のデプロイは事前に通知されますか?

いいえ。ACM による証明書やキーの更新や古い証明書の差し替えは、事前の通知なしに行われる可能性があります。

Q: ACM では、"example.com" など、ホスト名のないドメイン (Zone Apex またはネイキッドドメインとも呼ばれる) を含む証明書が更新されますか?

ホスト名のないドメインを含む証明書の更新およびデプロイの自動化機能を向上させるには、そのホスト名のないドメインの DNS ルックアップが証明書に関連付けられている AWS リソースに解決されることを確認してください。ホスト名のないドメインから AWS リソースへの解決は、ホスト名のないドメインから AWS リソースにマッピングするためのエイリアスリソースレコード (または同等の機能) に対応した DNS プロバイダー (Route 53 など) を使用しないと困難である可能性があります。詳細については、Route 53 開発者ガイド を参照してください。

Q: ACM で更新された証明書がデプロイされた場合、サイトの既存の接続は失われますか?

いいえ。新しい証明書がデプロイされた後に確立された接続では新しい証明書が使用されているため、既存の接続に影響はありません。

先頭に戻る >>