ACM 証明書の特徴 - AWS Certificate Manager

ACM 証明書の特徴

ACM が提供するパブリック証明書には、このページ で説明する特徴があります。

注記

これらの特徴は ACM が提供する証明書にのみ適用されます。ACM にインポートする証明書 には適用されない場合があります。

ドメイン検証 (DV)

ACM 証明書は、ドメイン検証されます。つまり、ACM 証明書のサブジェクトフィールドはドメイン名のみを識別します。ACM 証明書をリクエストした場合、リクエストで指定したすべてのドメインの所有者または管理者であることを検証する必要があります。E メールまたは DNS を使用して所有権を検証できます。詳細については、「E メール検証」および「DNS での検証」を参照してください。

有効期間

ACM 証明書の有効期間は、現在 13 か月 (395 日) です。

マネージド更新とデプロイ

ACM は、ACM の更新プロセスと、更新後の証明書のプロビジョニングを管理します。自動更新は、証明書の設定ミス、失効、期限切れによるダウンタイムを防止するために役立ちます。詳しくは、ACM 証明書のマネージド更新 を参照してください。

ブラウザとアプリケーショントラスト

ACM 証明書は、Google Chrome、Microsoft Internet Explorer と Microsoft Edge、そして Mozilla Firefox および Apple Safari を含むすべての主要なブラウザから信頼されています。ACM 証明書を信頼するブラウザでは、ACM 証明書を使用するサイトに SSL/TLS から接続するときにステータスバーにロックアイコンが表示されます。ACM 証明書は Java でも信頼されています。

複数のドメイン名

各 ACM 証明書には、少なくとも 1 つの完全修飾ドメイン名 (FQDN) が含まれる必要があり、希望する場合には追加の名前を付けくわえることができます。たとえば、www.example.com に ACM 証明書を作成する場合、www.example.net という名前を追加すると、カスタマーはどちらの名前を使用してもサイトにアクセスできます。これは、zone apex またはネイキッドドメインとも呼ばれるホスト名のないドメインにも有効です。つまり、www.example.com に ACM 証明書をリクエストし、example.com という名前を追加できます。詳しくは、パブリック証明書をリクエストする を参照してください。

ワイルドカード名

ACM は、ドメイン名にアスタリスク (*) を使うことで、同じドメイン内の複数のサイトを保護できるワイルドカード名を含む ACM 証明書を作成することができます。たとえば、*.example.com は、www.example.comimages.example.com を保護します。

注記

ワイルドカード証明書をリクエストする場合、アスタリスク (*) はドメイン名の左側に付ける必要があり、1 つのサブドメインレベルのみを保護できます。たとえば、*.example.comlogin.example.com および test.example.com を保護できますが、test.login.example.com を保護することはできません。また、*.example.com example.com のサブドメインのみを保護し、ネイキッドドメインまたは apex ドメイン (example.com) は保護しないことに注意してください。ただし、複数のドメイン名を特定してリクエストすることで、ネイキッドあるいはホスト名のないドメインとそのサブドメインを保護する証明書をリクエストできます。たとえば、example.com*.example.comを保護する証明書をリクエストできます。

アルゴリズム

証明書では、アルゴリズムやキーサイズを指定する必要があります。現在、次のパブリックキーアルゴリズムが ACM でサポートされています (カッコ内は API 名)。

  • 1024 ビット RSA (RSA_1024)

  • 2048 ビット RSA (RSA_2048)

  • 3072 ビット RSA (RSA_3072)

  • 4096 ビット RSA (RSA_4096)

  • Elliptic Prime Curve 256 ビット (EC_prime256v1)

  • Elliptic Prime Curve 384 ビット (EC_secp384r1)

  • Elliptic Prime Curve 521 ビット (EC_secp521r1)

重要

統合サービスでは、リソースへの関連付けがサポートされているアルゴリズムとキーサイズのみが許可されることに注意してください。さらに、そのサポートは、証明書のインポート先が IAM であるか、または ACM であるかによって異なります。詳細については、各サービスのドキュメントを参照してください。

Punycode

国際化ドメイン名に関連する次の Punycode 要件を満たす必要があります:

  1. パターン「<character><character>—」で始まるドメイン名は「xn—」と一致する必要があります。

  2. 「xn—」で始まるドメイン名も有効な国際化ドメイン名である必要があります。

Punycode の例

ドメイン名

フルフィル #1

フルフィル #2

許可

注意

example.com

該当なし

該当なし

「<character><character>—」で始まらない

a--example.com

該当なし

該当なし

「<character><character>—」で始まらない

abc--example.com

該当なし

該当なし

「<character><character>—」で始まらない

xn--xyz.com

はい

はい

有効な国際化ドメイン名 (简.com に解決)

xn--example.com

はい

いいえ

有効な国際化ドメイン名ではありません

ab--example.com

いいえ

いいえ

「xn--」で始まる必要があります。

例外

次の点に注意してください。

  • ACM は、拡張検証 (EV) 証明書または組織検証 (OV) 証明書を提供していません。

  • ACM は、SSL/TLS プロトコル以外の証明書を提供していません。

  • E メールの暗号化に ACM 証明書を使用することはできません。

  • ACM は現在、ACM 証明書のマネージド証明書更新のオプトアウトを許可していません。また、マネージド更新は ACM にインポートした証明書には使用できません。

  • 末尾が amazonaws.com、cloudfront.net、または elasticbeanstalk.com などの Amazon が所有するドメイン名に証明書をリクエストすることはできません。

  • ACM 証明書のプライベートキーをダウンロードすることはできません。

  • Amazon Elastic Compute Cloud (Amazon EC2) のウェブサイトまたはアプリケーションに ACM Certificate を直接インストールすることはできません。ただし、どの統合されたサービスでも証明書を使用できます。詳細については、「AWS Certificate Manager と統合されたサービス」を参照してください。