SSL/TLS 証明書をローテーションする - Amazon CloudFront

SSL/TLS 証明書をローテーションする

AWS Certificate Manager (ACM) が提供する証明書を使用する場合、SSL/TLS 証明書を更新する必要はありません。証明書の更新は、ACM によって行われます。詳細については、AWS Certificate Manager ユーザーガイドの「マネージド更新」を参照してください。

注記

ACM では、サードパーティー認証機関から入手して ACM にインポートした証明書の更新が管理されません。

サードパーティー認証機関を利用しており、証明書を ACM にインポートした場合 (推奨) または IAM 証明書ストアにアップロードした場合、証明書の交換が必要になることがあります。たとえば、証明書の有効期限が近づいている場合、証明書を交換する必要があります。

重要

専用 IP アドレスを使用して HTTPS リクエストを処理するよう CloudFront を設定した場合、証明書をローテーションしている間、追加の証明書に対して按分された追加料金がかかる可能性があります。ディストリビューションの更新を迅速に行って、追加料金を最低限にすることをお勧めします。

SSL/TLS 証明書をローテーションする

証明書をローテーションするには、以下の手順を実行します。ビューワーは、プロセスが完了した後だけでなく、証明書を更新している間もコンテンツにアクセスし続けることができます。

SSL/TLS 証明書をローテーションするには
  1. SSL/TLS 証明書のクォータを引き上げる、追加の SSL 証明書を使用するためにアクセス権限が必要かどうかを調べます。その場合、アクセス権限をリクエストし、ステップ 2 を続ける前にアクセス権限が付与されるまで待ってください。

  2. 新しい証明書を ACM にインポートするか、IAM にアップロードします。詳細については、Amazon CloudFront 開発者ガイドの「SSL/TLS 証明書をインポートする」を参照してください。

  3. ディストリビューションを一度に 1 つずつ、新しい証明書を使用できるように更新します。詳細については、Amazon CloudFront 開発者ガイドの「CloudFront ディストリビューションの一覧表示、詳細表示、および更新を行う」をご覧ください。

  4. (オプション) すべての CloudFront ディストリビューションの更新が完了したら、古い証明書を ACM または IAM から削除することもできます。

    重要

    すべてのディストリビューションから SSL/TLS 証明書を削除し、更新されたディストリビューションのステータスが [Deployed] に変わるまで、SSL/TLS 証明書を削除しないでください。