ワイルドカードとサブドメインを使用する E メール検証の証明書の場合、ACM が管理する更新プロセスはどのように行われますか?

最終更新日: 2019 年 7 月 8 日

ドメイン所有権の検証に E メールを使用しており、ワイルドカードとサブドメインを使用する AWS Certificate Manager (ACM) 証明書があります。ワイルドカードとサブドメインを使用する証明書の場合、ACM が管理する更新はどのように行われますか?

簡単な説明

ACM 発行のワイルドカード証明書の更新時が近づいており、それらが AWS Certificate Manager と統合されたサービスに関連付けられている場合、ACM は証明書の自動更新を試みます。複数の AWS リソースに関連付けられている ACM 発行の証明書の更新プロセスを説明するために、次のシナリオを検討します。

これらのシナリオは以下を前提としています。

  • ドメインがロードバランサー A とロードバランサー B の 2 つの Elastic Load Balancing (ELB) ロードバランサーにデプロイされている。
  • これら 2 つのロードバランサー間で Amazon Route 53 のアクティブ/パッシブフェイルオーバーを設定している。
  • ロードバランサー A をプライマリリソースとして設定し、ロードバランサー B をプライマリリソースが利用できなくなった場合のために待機するセカンダリリソースとして設定している。
  • ACM 証明書 (証明書 1 および証明書 2) を各ロードバランサーに関連付けており、これらの証明書の有効期限が 60 日後に切れる。

注意: ドメイン所有権の検証に DNS を使用する場合、これらのシナリオは該当しません。 

解決方法

シナリオ 1

  • ドメイン「test.example.com」が両方のロードバランサー (- ロードバランサー A: test.example.com - ロードバランサー B: test.example.com) にデプロイされている
  • 証明書 1 のドメイン名が test.example.com で、この証明書がロードバランサー A に関連付けられている
  • 証明書 2 のドメイン名が test.example.com で、この証明書がロードバランサー B に関連付けられている

ACM 証明書の有効期限が切れる前に、ACM は各証明書のドメイン名の検証を試みます。ドメイン「test.example.com」を検証するため、ACM は www.test.example.com および test.example.com に対して定期的な HTTPS リクエストを送信します。詳細については、「自動ドメイン検証の理解」を参照してください。ACM が HTTPS 接続を正常に確立し、応答で証明書 1 が返されると、ドメイン「test.example.com」が検証されます。ドメイン「test.example.com」が検証され、証明書が更新されます。ロードバランサー A はアクティブなロードバランサーであることから、ドメインを検証するための ACM の HTTPS リクエストに対する応答では証明書 1 が返されます。証明書 2 の自動検証は失敗します。ACM は、証明書 2 の有効期限が切れる 45 日前に、以下を送信することによって証明書 2 の検証を試みます。

シナリオ 2

  • ドメイン「www.example.com」が 2 つのロードバランサー (- ロードバランサー A: www.example.com - ロードバランサー B: www.example.com) にデプロイされている。
  • 証明書 1 のドメイン名が www.example.com で、この証明書がロードバランサー A に関連付けられている。
  • 証明書 2 のドメイン名が *.example.com で、この証明書がロードバランサー B に関連付けられている。

各証明書のドメイン名は異なりますが、定期的な HTTPS 接続リクエストは www.example.com および example.com に送信されます。いずれかの HTTPS 接続リクエストが正常に行われた場合、ドメインが検証されます。ACM は、ロードバランサー A: www.example.com に関連付けられた証明書 1 を更新します。証明書 2 の更新は失敗するので、証明書 2 は手動で更新する必要があります。詳細については、「証明書の自動更新に失敗した場合」を参照してください。

シナリオ 3

  • ドメイン「test.example.com」がロードバランサー A: test.example.com、および ロードバランサー B: test.example.com の 2 つのロードバランサーにデプロイされている。
  • 証明書 1 のドメイン名が *.example.com で、この証明書がロードバランサー A に関連付けられている。
  • 証明書 2 のドメイン名が *.example.com で、この証明書がロードバランサー B に関連付けられている。

ACM は、これらのロードバランサー (ロードバランサー A: test.example.com および ロードバランサー B: test.example.com) の背後でホストされているドメインとは異なる example.com および www.example.com に定期的な HTTPS リクエストを送信します。自動ドメイン検証は正常に行われず、どちらの証明書も更新されません。証明書を更新するには、両方のドメインを手動で検証する必要があります。