パブリックに信頼されている ACM 証明書がマネージド型の更新に失敗したのはなぜですか?

所要時間1分

AWS Certificate Manager (ACM) 証明書の更新に失敗しました。ACM 証明書が更新されなかったのはなぜですか?

簡単な説明

ACM では、AWS が発行した SSL/TLS 証明書を更新管理できます。つまり、DNS 検証を使用している場合は ACM が自動的に証明書を更新するか、有効期限が近づくと E メール通知が送信されます。ACM は、証明書に含まれる各ドメイン名の検証を試みます。証明書に関連付けられているすべてのドメイン名が検証されると、ACM 証明書が更新されます。詳細については、「マネージド型の証明書の更新のトラブルシューティング」を参照してください。

以下の場合、E メールおよび DNS で検証された証明書のマネージド型更新が失敗することがあります。

証明書が ACM にインポートされているとき。インポートされた証明書は自動的には更新されません。
更新される ACM 証明書が使用されていません。つまり、ACM 証明書が ACM に統合されているサービスのいずれもと関連付けられていません。

E メールで検証されたドメインの更新には、手動でのアクションが必要です。ACM は、有効期限の 45 日前に、ドメインの WHOIS メールボックスアドレスと 5 つの共通管理者アドレスを使用して E メール更新通知の送信を開始します。通知には、ドメイン所有者が更新用に選択できるリンクが含まれています。リストされたすべてのドメインが検証されると、ACM は同じ ARN で更新された証明書を発行します。

DNS によって検証されたドメインのマネージド型更新は、ACM が DNS データベースで適切な CNAME レコードを見つけられなかった場合に失敗することがあります。

解決方法

E メールと DNS で検証された証明書

ACM 証明書が ACM に統合されているサービスの 1 つで使用されていることを確認してください。

E メールで検証された証明書

E メールで検証された証明書の場合、ACM は WHOIS メールボックスアドレスと、証明書にリストされている各ドメインの 5 つの共通管理者アドレスに送信できる必要があります。リストされたすべてのドメインが検証されると、ACM は同じ ARN で更新された証明書を発行します。詳細については、「E メール検証」を参照してください。

DNS で検証された証明書

DNS の設定を、ACM により提供された CNAME レコードを含むよう変更します。ACM は DNS で検証された証明書が含むドメイン名の DNS 設定の中で、 CNAME レコードを探します。

証明書の更新後も、更新された ACM 証明書の Amazon リソースネーム (ARN) に変更はありません。更新された ACM 証明書は統合された使用中の AWS リソースに自動的に更新されます。

詳細については、「マネージド型の証明書の更新のトラブルシューティング」を参照してください。