ACM 証明書の自動更新が失敗するのはなぜですか ?

最終更新日: 2019 年 8 月 7 日

自動ドメイン検証プロセスを使用しましたが、AWS Certificate Manager (ACM) の証明書を更新できませんでした。ACM 証明書が更新されなかったのはなぜですか?

簡単な説明

証明書の有効期限が切れる約 60 日前に、ACM は ACM の Amazon が発行する証明書のマネージド型更新のプロセスを開始します。ACM は証明書に含まれる各ドメイン名の検証を試み、関連付けられているすべてのドメイン名が検証された後に ACM 証明書が更新されます。詳細については、「ドメイン検証の仕組み」をご参照ください。

以下のような場合には、E メールと DNS で検証された証明書の自動検証プロセスが失敗することがあります。

  • 証明書が ACM にインポートされているとき。インポートされた証明書は自動的には更新されません。
  • 更新中の ACM 証明書が使用されていない、つまり、ACM 証明書が、AWS Certificate Manager に統合されたサービスのどれとも関連付けられていないとき。

以下のような場合は、E メールで検証された証明書の自動検証プロセスが失敗することがあります。

  • ACM は、ACM 証明書に含まれているすべてのドメイン名との HTTPS 接続を、常に確立できるわけではありません。
  • それらのドメイン名で解決された各 HTTPS 接続が送り返してくる公開証明書と、ACM が更新しようとしている証明書が一致しないからです。

ACM が、適切な CNAME レコードを DNS データベース内に見つけることができない場合、自動検証プロセスは DNS で検証された証明書の検証に失敗することがあります。

解決方法

E メールと DNS で検証された証明書

ACM 証明書が、AWS Certificate Manager に統合されたサービスのいずれかで使用されていることを確認します。

E メールで検証された証明書

DNS で検証された証明書

DNS の設定を、ACM により提供された CNAME レコードを含むよう変更します。

ACM が管理する更新プロセス中、証明書の有効期限が切れるまでの最大 45 日の間は、ACM は証明書に含まれているドメイン名との間で HTTPS 接続を確立しようと試みます。ACM は DNS で検証された証明書が含むドメイン名の DNS 設定の中で、 CNAME レコードを探します。このプロセス中の ACM 証明書では、更新ステータスが「自動更新保留中」になります。 詳細については、「証明書の更新ステータスの確認」を参照してください。

証明書の自動検証が完了し、それ以上の対応が必要とされない場合、更新ステータスは「成功」に変更されます。 ACM が管理する更新プロセスが失敗した場合でも、 E メールでのドメイン所有権の検証または DNS を使用してのドメイン所有権の検証により、手動でドメイン検証を行うことができます。詳細については、「証明書の自動更新に失敗した場合」をご参照ください。

証明書の更新後も、更新された ACM 証明書の Amazon リソースネーム (ARN) に変更はありません。更新された ACM 証明書は、統合されて使用中の AWS リソースに自動的に更新されます。