ワイルドカードとサブドメインを使用する E メール検証の証明書の場合、ACM が管理する更新プロセスはどのように行われますか?

最終更新日: 2021 年 3 月 16 日

ドメイン所有権の検証に E メールを使用しており、ワイルドカードとサブドメインを使用する AWS Certificate Manager (ACM) 証明書があります。ワイルドカードとサブドメインを使用する証明書の場合、ACM が管理する更新はどのように行われますか?

簡単な説明

ACM 発行のワイルドカード証明書の更新時が近づいており、それらが AWS Certificate Manager と統合されたサービスに関連付けられている場合、ACM は証明書の自動更新を試みます。複数の AWS リソースに関連付けられている ACM 発行の証明書の更新プロセスを説明するために、次のシナリオを検討します。

これらのシナリオは以下を前提としています。

  • ドメインがロードバランサー A とロードバランサー B の 2 つの Elastic Load Balancing ロードバランサーにデプロイされている。
  • これら 2 つのロードバランサー間で Amazon Route 53 のアクティブ/パッシブフェイルオーバーを設定している。
  • ロードバランサー A をプライマリリソースとして設定し、ロードバランサー B をセカンダリリソースとして設定した。また、ロードバランサー B は、プライマリリソースが使用できなくなった場合に備えて、スタンバイ状態である。
  • ACM 証明書 (証明書 1 および証明書 2) を各ロードバランサーに関連付けており、これらの証明書の有効期限が 60 日後に切れる。

注: ドメイン所有権の検証に DNS を使用する場合、これらのシナリオは該当しません。

解決方法

シナリオ 1

  • ドメイン「test.example.com」が両方のロードバランサーにデプロイされている (ロードバランサー A: test.example.com、ロードバランサー B: test.example.com)
  • 証明書 1 のドメイン名が test.example.com で、この証明書がロードバランサー A に関連付けられている
  • 証明書 2 のドメイン名が test.example.com で、この証明書がロードバランサー B に関連付けられている

ACM 証明書の有効期限が切れる前に、ACM は各証明書のドメイン名の検証を試みます。ドメイン「test.example.com」を検証するため、ACM は www.test.example.com および test.example.com に対して定期的な HTTPS リクエストを送信します。詳細については、「ドメインの所有権を検証する」をご参照ください。ACM が HTTPS 接続を正常に確立し、応答で証明書 1 が返されると、ドメイン「test.example.com」が検証されます。ドメイン「test.example.com」が検証され、証明書が更新されます。ロードバランサー A はアクティブなロードバランサーであることから、ドメインを検証するための ACM の HTTPS リクエストに対する応答では証明書 1 が返されます。証明書 2 の自動検証は失敗します。ACM は、証明書 2 の有効期限が切れる 45 日前に、以下を送信することによって証明書 2 の検証を試みます。

シナリオ 2

  • ドメイン「www.example.com」が 2 つのロードバランサーにデプロイされている (ロードバランサー A: www.example.com、ロードバランサー B: www.example.com)
  • 証明書 1 のドメイン名が www.example.com で、この証明書がロードバランサー A に関連付けられている。
  • 証明書 2 のドメイン名が *.example.com で、この証明書がロードバランサー B に関連付けられている。

各証明書のドメイン名は異なりますが、定期的な HTTPS 接続リクエストは www.example.com および example.com に送信されます。いずれかの HTTPS 接続リクエストが正常に行われた場合、ドメインが検証されます。ACM は、ロードバランサー A: www.example.com に関連付けられた証明書 1 を更新します。証明書 2 の更新は失敗するので、証明書 2 は手動で更新する必要があります。詳細については、「マネージド型の証明書の更新のトラブルシューティング」をご参照ください。

シナリオ 3

  • ドメイン「test.example.com」が 2 つのロードバランサーにデプロイされている (ロードバランサー A: test.example.com、ロードバランサー B: test.example.com)
  • 証明書 1 のドメイン名が *.example.com で、この証明書がロードバランサー A に関連付けられている。
  • 証明書 2 のドメイン名が *.example.com で、この証明書がロードバランサー B に関連付けられている。

ACM は、これらのロードバランサー (ロードバランサー A: test.example.com およびロードバランサー B: test.example.com) の背後でホストされているドメインとは異なる example.com および www.example.com に定期的な HTTPS リクエストを送信します。自動ドメイン検証が失敗し、証明書を更新するために両方の証明書を手動で検証する必要があります。