AWS Certificate Manager
ユーザーガイド (Version 1.0)

ACM 証明書の特徴

ACM が提供するパブリック証明書には、のこのページで説明する特徴があります。

注記

これらの特徴は ACM が提供する証明書にのみ適用されます。この特徴は、ACM にインポートする証明書には適用されない場合があります。

ドメイン検証 (DV)

ACM 証明書は、ドメイン検証されます。つまり、ACM 証明書のサブジェクトフィールドはドメイン名のみを識別します。ACM 証明書をリクエストした場合、リクエストで指定したすべてのドメインの所有者または管理者であることを検証する必要があります。E メールまたは DNS を使用して所有権を検証できます。詳細については、「E メールを使用したドメインの所有権の検証」および「DNS を使用したドメインの所有権の検証」を参照してください。

有効期間

ACM 証明書の有効期間は、現在 13 か月です。

マネージド型更新とデプロイ

ACM は、ACM の更新プロセスと、更新後の証明書のプロビジョニングを管理します。自動更新は、証明書の設定ミス、失効、期限切れによるダウンタイムを防止するために役立ちます。詳細については、「ACM の Amazon が発行する証明書のマネージド型更新」を参照してください。

ブラウザとアプリケーショントラスト

ACM 証明書は、Google Chrome、Microsoft Internet Explorer と Microsoft Edge、そして Mozilla Firefox および Apple Safari を含むすべての主要なブラウザから信頼されています。ACM 証明書を信頼するブラウザでは、ACM 証明書を使用するサイトに SSL/TLS から接続するときにステータスバーにロックアイコンが表示されます。ACM 証明書は Java でも信頼されています。

複数のドメイン名

各 ACM 証明書には、少なくとも 1 つの完全修飾ドメイン名 (FQDN) が含まれる必要があり、希望する場合には追加の名前を付けくわえることができます。たとえば、www.example.com に ACM 証明書を作成する場合、www.example.net という名前を追加すると、カスタマーはどちらの名前を使用してもサイトにアクセスできます。これは、zone apex またはネイキッドドメインとも呼ばれるホスト名のないドメインにも有効です。つまり、www.example.com に ACM 証明書をリクエストし、example.com という名前を追加できます。詳細については、「パブリック証明書のリクエスト」を参照してください。

ワイルドカード名

ACM では、ドメイン名にアスタリスク (*) を使うことで、同じドメイン内の複数のサイトを保護できるワイルドカード名を含む ACM 証明書を作成することができます。たとえば、*.example.com は、www.example.comimages.example.com を保護します。

注記

ワイルドカード証明書をリクエストする場合、アスタリスク (*) はドメイン名の左側に付ける必要があり、1 つのサブドメインレベルのみを保護できます。たとえば、*.example.comlogin.example.com および test.example.com を保護できますが、test.login.example.com を保護することはできません。また、*.example.com は、example.com のサブドメインのみを保護し、ネイキッドドメインまたは apex ドメイン (example.com) は保護しないことに注意してください。ただし、複数のドメイン名を特定してリクエストすることで、ネイキッドあるいはホスト名のないドメインとそのサブドメインを保護する証明書をリクエストできます。たとえば、example.com*.example.comを保護する証明書をリクエストできます。

アルゴリズム

証明書では、アルゴリズムやキーサイズを指定する必要があります。現在、次のパブリックキーアルゴリズムが ACM でサポートされています。

  • 2048 ビット RSA (RSA_2048)

  • 4096 ビット RSA (RSA_4096)

  • Elliptic Prime Curve 256 ビット (EC_prime256v1)

  • Elliptic Prime Curve 384 ビット (EC_secp384r1)

重要

統合サービスでは、リソースへの関連付けがサポートされているアルゴリズムとキーサイズのみが許可されることに注意してください。さらに、そのサポートは、証明書のインポート先が IAM であるか、または ACM であるかによって異なります。詳細については、各サービスの ドキュメントを参照してください。

例外

次の点に注意してください。

  • ACM は、拡張検証 (EV) 証明書または組織検証 (OV) 証明書を提供していません。

  • ACM は、SSL/TLS プロトコル以外の証明書を提供していません。

  • E メールの暗号化に ACM 証明書を使用することはできません。

  • ACM は、「xn--」(Punycode) のラベルを含むドメイン名に対して UTF-8 でエンコードされた ASCII のみを扱います。ACM はドメイン名に Unicode 入力 (U ラベル) を受け付けていません。

  • ACM は現在、ACM 証明書の証明書マネージド型更新のオプトアウトを許可していません。また、マネージド型更新は ACM にインポートした証明書には使用できません。

  • 末尾が amazonaws.com、cloudfront.net、または elasticbeanstalk.com などの Amazon が所有するドメイン名に証明書をリクエストすることはできません。

  • ACM 証明書のプライベートキーをダウンロードすることはできません。

  • Amazon Elastic Compute Cloud (Amazon EC2) ウェブサイトやアプリケーションに ACM 証明書を直接インストールすることはできません。ただし、どの統合されたサービスでも証明書を使用できます。詳細については、「サービスと AWS Certificate Manager の統合」を参照してください。