E メールを使用したドメインの所有権の検証をしますが、ワイルドカードおよびサブドメインを使用した AWS Certificate Manager (ACM) 証明書があります。ACM のマネージド型更新は、ワイルドカードおよびサブドメインを使用した証明書をどのように取り扱いますか?

ACM 発行のワイルドカード証明書が更新時期を迎え、AWS Certificate Manager に統合されるサービスに関連付けられている場合、ACM は証明書を自動で更新しようとします。1 つ以上の AWS リソースと関連付けられた ACM 発行の証明書の更新プロセスを説明するために、以下のシナリオを考えてみます。そのシナリオは以下を前提とします。

  • ドメインは 2 つの Elastic Load Balancing (ELB) ロードバランサー、すなわち、ロードバランサー A およびロードバランサー B にデプロイされています。
  • 2 つのロードバランサー間に、Route53 フェイルオーバー (アクティブ/パッシブ) が設定済みです。
  • ロードバランサー A はプライマリリソースとして、ロードバランサー B はセカンダリリソースとして設定済みで、後者はプライマリリソースが使用不可の場合に備えてスタンバイの状態です。
  • ACM 証明書 (証明書 1 および証明書 2) をそれぞれのロードバランサーに関連付けましたが、その証明書は期限切れまで 60 日です。

注意: これらのシナリオは、DNS を使用したドメインの所有権の検証を実施する場合は当てはまりません。

シナリオ 1

  • ドメイン test.example.com が両方のロードバランサーにデプロイされています。ロードバランサー A: test.example.com、ロードバランサー B: test.example.com です。
  • 証明書 1 のドメイン名は test.example.com で、証明書はロードバランサー A に関連付けられています。
  • 証明書 2 のドメイン名は test.example.com で、証明書はロードバランサー B に関連付けられています。

ACM 証明書の期限が切れる前に、ACM はそれぞれの証明書のドメイン名を検証しようとします。ACM はドメイン test.example.com を検証するために、www.test.example.com および test.example.com へ定期的な HTTPS リクエストを送信します。詳細については、自動ドメイン検証の仕組みを参照してください。ACM がどちらかのドメインと HTTPS 接続に成功した場合、または証明書 1 がレスポンスで返された場合、ドメイン test.example.com は検証されたとみなされます。ドメイン test.example.com は検証され、証明書が更新されます。ロードバランサー A がアクティブであり、証明書 2 の自動検証は失敗するため、証明書 1 が常に ACM の HTTPS リクエストに対するレスポンスで返されてドメインを検証します。ACM は証明書 2 の期限切れまで 45 日となる日に

シナリオ 2

  • ドメイン www.example.com が 2 つのロードバランサーにデプロイされています。ロードバランサー A: www.example.com、ロードバランサー B: www.example.com です。
  • 証明書 1 のドメイン名は www.example.com で、証明書はロードバランサー A に関連付けられています。
  • 証明書 2 のドメイン名は *.example.com で、証明書はロードバランサー B に関連付けられています。

それぞれの証明書のドメイン名は異なりますが、定期的な HTTPS 接続リクエストが www.example.com および example.com へ送信されます。HTTPS 接続リクエストが成功したら、ドメインは検証されたと見なされます。ACM は、ロードバランサー A: www.example.com に関連付けられた証明書 1 を更新します。証明書 2 の更新は失敗するため、証明書 2 の手動更新が必要となります。詳細については、自動検証に失敗した場合を参照してください。

シナリオ 3

  • ドメイン test.example.com が 2 つのロードバランサーにデプロイされています。ロードバランサー A: test.example.com、ロードバランサー B: test.example.com.です。
  • 証明書 1 のドメイン名は *.example.com で、証明書はロードバランサー A に関連付けられています。
  • 証明書 2 のドメイン名は *.example.com で、証明書はロードバランサー B に関連付けられています。

ACM は、これらのロードバランサー (ロードバランサー A: test.example.com およびロードバランサー B: test.example.com) の背後でホストするドメインとは異なる example.com および www.example.com へ定期的な HTTPS リクエストを送信します。自動ドメイン検証は失敗し、両方の証明書は更新されません。両方のドメインは手動検証で証明書を更新する必要があります。詳細については、自動検証に失敗した場合を参照してください。


このページは役に立ちましたか? はい | いいえ

AWS サポートナリッジセンターに戻る

サポートが必要ですか?AWS サポートセンターをご覧ください。

公開日: 2018 年 5 月 17 日