AWS Certificate Manager (ACM) 管理更新プロセスを使用してドメイン名を検証した後も、証明書の更新が保留されているのはなぜですか?

所要時間1分

AWS Certificate Manager (ACM) 管理更新プロセスを使用してドメインを検証しましたが、ステータスはまだ「検証待ち」です。これを解決するにはどうすればよいですか?

簡単な説明

更新プロセスは、E メールで検証された証明書と DNS で検証された証明書で異なります。

ACM は、DNS 検証済み証明書の期限が切れる 60 日前に、ACM 証明書を自動的に更新しようとします。ドメインが検証されたことを確認するには、ACM コンソールで証明書の詳細を展開します。または、AWS コマンドラインインターフェイス (AWS CLI) で describe-certificate コマンドを使用します。ACM が証明書内の 1 つまたは複数のドメイン名を自動的に検証できない場合、更新ステータスが「検証待ち」になります。

これは次の理由で起こります。

ACM 証明書に記載されているすべてのドメインが検証されているわけではない。
自動検証に失敗した。
管理する更新プロセスが非同期である。
元の証明書の有効期限が切れた。

注: E メールで検証された証明書を更新する場合、ACM は、ドメイン所有者によるアクションを必要とする有効期限の 45 日前に更新通知の送信を開始します。

解決方法

ACM の更新ステータス「検証待ち」のトラブルシューティングを行うには、次の手順に従います。

注: AWS CLI コマンドの実行時にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください。

ACM 証明書に記載されているすべてのドメインが検証されているわけではない

ドメインを手動で検証する場合は、ACM 証明書に含まれている各ドメインを検証する必要があります。

E メールで検証する場合は、ドメインごとに一連の検証 E メールが送信されます。ドメインを検証するには、これらの E メールに含まれる手順を実行する必要があります。詳細については、「E メール検証」を参照してください。

自動検証に失敗した

ACM がドメインを自動的に検証できない場合は、「Handling failures in managed certificate renewal」(管理する証明書の更新の障害対応) をご参照ください。

管理更新プロセスが非同期である

ACM が新しい証明書を取得するのに最大数時間かかる可能性があります。この間、ACM コンソールのステータスは検証待ちのままです。

更新が遅れると、ACM コンソールのドメインの検証ステータスは「成功」になり、証明書の更新ステータスは「検証待ち」になります。

元の証明書の有効期限が切れた

元の E メールで検証された ACM 証明書の有効期限が切れると、証明書のステータスが「発行済み」から「検証待ち」に変わります。72 時間以内にドメインを検証する必要があります。そうしないと、更新ステータスが「検証待ち」から「失敗」に変わります。更新に失敗した場合は、ドメインに別のパブリック証明書をリクエストする必要があります。