AWS Certificate Manager (ACM) 証明書の更新に失敗しました。ACM 証明書が更新されなかったのはなぜですか?
簡単な説明
ACM では、AWS が発行した SSL/TLS 証明書を更新管理できます。つまり、DNS 検証を使用している場合は ACM が自動的に証明書を更新するか、有効期限が近づくと E メール通知が送信されます。ACM は、証明書に含まれる各ドメイン名の検証を試みます。証明書に関連付けられているすべてのドメイン名が検証されると、ACM 証明書が更新されます。詳細については、「マネージド型の証明書の更新のトラブルシューティング」を参照してください。
以下の場合、E メールおよび DNS で検証された証明書のマネージド型更新が失敗することがあります。
- 証明書が ACM にインポートされているとき。インポートされた証明書は自動的には更新されません。
- 更新される ACM 証明書が使用されていません。つまり、ACM 証明書が ACM に統合されているサービスのいずれもと関連付けられていません。
E メールで検証されたドメインの更新には、手動でのアクションが必要です。ACM は、有効期限の 45 日前に、ドメインの WHOIS メールボックスアドレスと 5 つの共通管理者アドレスを使用して E メール更新通知の送信を開始します。通知には、ドメイン所有者が更新用に選択できるリンクが含まれています。リストされたすべてのドメインが検証されると、ACM は同じ ARN で更新された証明書を発行します。
DNS によって検証されたドメインのマネージド型更新は、ACM が DNS データベースで適切な CNAME レコードを見つけられなかった場合に失敗することがあります。
解決方法
E メールと DNS で検証された証明書
ACM 証明書が ACM に統合されているサービスの 1 つで使用されていることを確認してください。
E メールで検証された証明書
E メールで検証された証明書の場合、ACM は WHOIS メールボックスアドレスと、証明書にリストされている各ドメインの 5 つの共通管理者アドレスに送信できる必要があります。リストされたすべてのドメインが検証されると、ACM は同じ ARN で更新された証明書を発行します。詳細については、「E メール検証」を参照してください。
DNS で検証された証明書
DNS の設定を、ACM により提供された CNAME レコードを含むよう変更します。ACM は DNS で検証された証明書が含むドメイン名の DNS 設定の中で、 CNAME レコードを探します。
証明書の更新後も、更新された ACM 証明書の Amazon リソースネーム (ARN) に変更はありません。更新された ACM 証明書は統合された使用中の AWS リソースに自動的に更新されます。
詳細については、「マネージド型の証明書の更新のトラブルシューティング」を参照してください。
関連情報
ACM のベストプラクティス
ACM マネージド更新プロセスは、E メールで検証された証明書でどのように機能しますか?
証明書の更新ステータスの確認