AWS Certificate Manager でのパブリック証明書のリクエスト
AWS Certificate Manager パブリック証明書は、ACM コンソール、AWS CLI、または API からリクエストできます。これらの証明書は、AWS のサービス と統合して使用することも、AWS クラウド の外部で使用するためにエクスポートすることもできます。
次のリストでは、パブリック証明書とエクスポート可能なパブリック証明書の違いを説明します。
- パブリック証明書
-
Elastic Load Balancing、Amazon CloudFront、Amazon API Gateway などの統合 AWS のサービス で ACM パブリック証明書を使用します。詳しくは、サービスと ACM の統合 を参照してください。
注記
2025 年 6 月 17 日より前に作成された ACM パブリック証明書は、エクスポートできません。
- エクスポート可能なパブリック証明書
-
エクスポート可能なパブリック証明書は統合された AWS のサービス で動作し、AWS クラウド の外部でも使用できます。詳しくは、AWS Certificate Manager エクスポート可能なパブリック証明書 または サービスと ACM の統合 を参照してください。パブリック証明書をエクスポートできるようにするには、新しい ACM パブリック証明書を作成し、エクスポートを有効にする必要があります。
以下のセクションでは、パブリック ACM 証明書をリクエスト、エクスポート、および取り消す方法を説明します。
コンソールを使用してパブリック証明書をリクエストする
ACM パブリック証明書をリクエストするには (コンソール)
-
AWS マネジメントコンソールにサインインして ACM コンソール (https://console.aws.amazon.com/acm/home
) を開きます。 [Request a certificate] (証明書のリクエスト) を選択します。
-
[Domain names] (ドメイン名) セクションで、ドメイン名を入力します。
www.example.comのような完全修飾ドメイン名 (FQDN) やexample.comのようなネイキッドドメインあるいは apex ドメイン名を使用できます。また、同じドメインで複数のサイト名を保護するために、最左位置にアスタリスク (*) をワイルドカードとして使用できます。たとえば、*.example.comは、corp.example.comとimages.example.comを保護します。ワイルドカード名は、ACM 証明書の [Subject] (件名) フィールドと [Subject Alternative Name] (サブジェクト代替名) 拡張子に表示されます。ワイルドカード証明書をリクエストする場合、アスタリスク (
*) はドメイン名の左側に付ける必要があり、1 つのサブドメインレベルのみを保護できます。たとえば、*.example.comはlogin.example.comおよびtest.example.comを保護できますが、test.login.example.comを保護することはできません。また、*.example.comは、example.comのサブドメインのみを保護し、ネイキッドドメインまたは apex ドメイン (example.com) は保護しないことに注意してください。両方を保護するには、次のステップを参照してください。注記
RFC 5280
に準拠している場合、この手順で入力するドメイン名 (技術的には Common Name) の長さは、ピリオドを含む 64 オクテット (文字) を超えることはできません。ただし、後続の各サブジェクト代替名 (SAN) は、次の手順で、長さが最大 253 オクテットまで指定できます。 -
別の名前を追加するには、[Add another name to this certificate] (この証明書に別の名前を追加) を選択し、テキストボックスに名前を入力します。これは、ネイキッドドメインまたは apex ドメイン (
example.comなど) の両方とそのサブドメイン (*.example.comなど) を保護するために役立ちます。
-
-
ACM エクスポート可能なパブリック証明書を作成する場合は、[Enable export] (エクスポートを有効にする) オプションを選択します。証明書のプライベートキーにアクセスして、AWS クラウド の外部で使用できます。詳しくは、AWS Certificate Manager エクスポート可能なパブリック証明書 を参照してください。
-
[Validation method] (検証方法) セクションで、必要に応じて [DNS validation – recommended] (DNS 検証 - 推奨) または [Email validation] (E メール検証) を選択します。
注記
DNS 設定を編集できる場合は、E メール検証ではなく DNS ドメイン検証を使用することをお勧めします。DNS 検証には E メール検証と比べていくつかの利点があります。「AWS Certificate Manager DNS での検証」を参照してください。
ACM は証明書を発行する前に、証明書リクエストのドメイン名の所有者または管理者を検証します。E メール検証または DNS 検証のいずれかを使用できます。
-
E メール検証を選択すると、ACM はドメイン名フィールドで指定したドメインに検証 E メールを送信します。検証ドメインを指定すると、ACM はその検証ドメインに E メールを送信します。E メール検証の詳細については、AWS Certificate Manager E メール検証 を参照してください。
-
DNS 検証を使用する場合は、ACM から提供される CNAME レコードを DNS 設定に追加するだけです。DNS 検証の詳細については、AWS Certificate Manager DNS での検証 を参照してください。
-
-
[Key algorithm] (キーアルゴリズム) セクションで、アルゴリズムを選択します。
-
[Tags] (タグ) ページで、オプションで証明書にタグを付けることができます。タグとは、AWS リソースを識別および整理するためのメタデータとして機能するキーと値のペアのことを指します。ACM タグパラメータのリスト、および証明書作成後にタグを追加する方法については、AWS Certificate Manager リソースにタグを付ける を参照してください。
タグの追加が完了したら、[Request] (リクエスト) を選択します。
-
リクエストが処理されると、コンソールは証明書リストに戻り、リストには新しい証明書の情報が表示されます。
トラブルシューティングのトピック「証明書のリクエストの失敗」に記載されているいずれかの理由で失敗しない限り、リクエストされると証明書のステータスが [Pending validation] (検証保留中) になります。ACM が証明書の検証を 72 時間繰り返し、タイムアウトします。証明書のステータスが [Failed] (失敗) または [Validation timed out] (検証タイムアウト) の場合、リクエストを削除し、DNS での検証 または E メール検証 で問題を修正してから、再度お試しください。検証が成功すると、証明書のステータスは [Issued] (発行済み) になります。
注記
リストの配列方法によっては、探している証明書がすぐには表示されない場合があります。右側の黒い三角形をクリックすると、配列を変更できます。また、右上のページ番号を使用して、証明書の複数のページを検索することもできます。
CLI を使用してパブリック証明書をリクエストする
request-certificate コマンドを使用して、コマンドラインに新しいパブリック ACM 証明書をリクエストします。検証方法のオプション値は DNS と EMAIL です。キーアルゴリズムのオプション値は、RSA_2048 (パラメータが明示的に指定されていない場合のデフォルト)、EC_prime256v1、および EC_secp384r1 です。
aws acm request-certificate \ --domain-name www.example.com \ --key-algorithm EC_Prime256v1 \ --validation-method DNS \ --idempotency-token 1234 \ --options CertificateTransparencyLoggingPreference=DISABLED,Export=ENABLED
このコマンドは、新しいパブリック証明書の Amazon リソースネーム (ARN) を出力します。
{
"CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
} 