翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
DNS 検証
ドメインネームシステム (DNS) は、ネットワークに接続されているリソースのディレクトリサービスです。DNS プロバイダーは、ドメインを定義するレコードを含むデータベースを保持します。DNS 検証を選択すると、 ACMはこのデータベースに追加する必要がある 1 つ以上のCNAMEレコードを提供します。これらのレコードには、ドメインを制御する証拠となる一意のキーと値のペアが含まれています。
注記
E メール検証を使用して証明書を作成した後は、 による検証に切り替えることはできませんDNS。DNS 検証を使用するには、証明書を削除し、DNS検証を使用する新しい証明書を作成します。
例えば、追加名として を持つexample.comドメインの証明書www.example.comをリクエストすると、 ACM は 2 つのCNAMEレコードを作成します。各レコードは、ユーザーのドメインおよびアカウントに固有のものとして作成され、名前と値が含まれます。値は、 が証明書を自動的に更新ACMするために使用する AWS ドメインを指すエイリアスです。CNAME レコードは 1 回だけDNSデータベースに追加する必要があります。ACM は、証明書が使用中で、CNAMEレコードが保持されている限り、証明書を自動的に更新します。
重要
Amazon Route 53 を使用してパブリックDNSレコードを管理しない場合は、DNSプロバイダーに連絡してレコードを追加する方法を確認してください。ドメインのDNSデータベースを編集する権限がない場合は、代わりに E メール検証を使用する必要があります。
検証を繰り返すことなく、CNAMEレコードが保持されている限り、完全修飾ドメイン名 (FQDN) の追加ACM証明書をリクエストできます。つまり、同じドメイン名を持つ置換証明書、または異なるサブドメインを対象とする証明書を作成できます。CNAME 検証トークンはどの AWS リージョンでも機能するため、複数のリージョンで同じ証明書を再作成できます。また、削除された証明書を置き換えることもできます。
自動更新を停止するには、証明書が関連付けられているサービスから証明書を削除するか、 AWS CNAMEレコードを削除します。Route 53 がDNSプロバイダーでない場合は、プロバイダーに連絡してレコードを削除する方法を確認してください。Route 53 がプロバイダーである場合は、Route 53 開発者ガイドの「リソースレコードセットの削除」を参照してください。証明書のマネージド型更新の詳細については、「ACM 証明書のマネージド更新」を参照してください。
注記
CNAME DNS設定で 5 つ以上が連鎖されている場合CNAMEs、解決は失敗します。より長いチェーンが必要な場合は、E メール検証を使用することをお勧めします。
のCNAMEレコードのACM仕組み
注記
このセクションは、Route 53 をDNSプロバイダーとして使用していないお客様を対象としています。
DNS プロバイダーとして Route 53 を使用していない場合は、 から提供されたCNAMEレコードを、通常はウェブサイトを通じてプロバイダーのデータベースACMに手動で入力する必要があります。CNAME レコードは、リダイレクトメカニズムやベンダー固有のメタデータのコンテナなど、さまざまな目的で使用されます。の場合ACM、これらのレコードにより、ドメインの所有権の初期検証と継続的な自動証明書更新が可能になります。
次の表は、6 つのドメイン名のCNAMEレコードの例を示しています。各レコードのレコード名-レコード値ペアは、ドメイン名の所有権を認証する役割を果たします。
表では、最初の 2 つのレコード名-レコード値のペアは同じです。これは、 などのワイルドカードドメインの場合*.example.com、 によって作成された文字列ACMが、そのベースドメイン に対して作成された文字列と同じであることを示していますexample.com。それ以外の場合は、ペアのレコード名およびレコード値は、ドメイン名ごとに異なります。
CNAME レコードの例 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ドメイン名 | レコード名 | レコード値 | コメント | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| *.example.com | _x1.example.com。 |
_x2.acm-validations.aws。 |
Identical | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| example.com | _x1.example.com。 |
_x2.acm-validations.aws。 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| www.example.com | _x3.www.example.com。 |
_x4.acm-validations.aws。 |
Unique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| host.example.com | _x5.host.example.com。 |
_x6.acm-validations.aws。 |
Unique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| subdomain.example.com | _x7.subdomain.example.com。 |
_x8.acm-validations.aws。 |
Unique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| host.subdomain.example.com | _x9.host.subdomain.example.com。 |
_x10.acm-validations.aws。 |
Unique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
- xN アンダースコア ( _ ) に続く値は、 によって生成される長い文字列ですACM。例えば、
_3639ac514e785e898d2646601fa951d5.example.com.
が生成される一般的なレコード名です。関連付けされたレコード値は
_98d2646601fa951d53639ac514e785e8.acm-validation.aws.
同じDNSレコードの 。
注記
DNS プロバイダーが先頭のアンダースコアを持つCNAME値をサポートしていない場合は、DNS「検証の問題のトラブルシューティング」を参照してください。
証明書をリクエストしてDNS検証を指定すると、 は次の形式でCNAME情報ACMを提供します。
| ドメイン名 | レコード名 | レコードタイプ | レコード値 |
|---|---|---|---|
| example.com | _a79865eb4cd1a6ab990a45779b4e0b96.example.com。 | CNAME |
_424c7224e9b0146f9a8808af955727d0.acm-validations.aws。 |
ドメイン名は、証明書FQDNに関連付けられた です。レコード名は、キーと値のペアのキーとして機能するレコードを一意に識別します。レコード値は、キーと値のペアの値として機能します。
これらの 3 つの値 (ドメイン名 、レコード名 、レコード値 ) はすべて、DNSレコードを追加するためにDNSプロバイダーのウェブインターフェイスの適切なフィールドに入力する必要があります。プロバイダーは、レコード名 (または単に「名前」) フィールドの処理に一貫性がありません。場合によっては、上記のように文字列全体を提供することが期待されます。他のプロバイダーは、入力したどの文字列にも自動的にドメイン名を付加します。つまり、(この例では)
_a79865eb4cd1a6ab990a45779b4e0b96
名前フィールドのみに入力することを意味します。これについて間違っていると思われる場合は、ドメイン名を含むレコード名 (.example.com など) を入力すると、次のようになります。
_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.
この場合、検証は失敗します。したがって、プロバイダーが期待する入力のタイプを事前に決定する必要があります。
DNS 検証のセットアップ
このセクションでは、DNS検証を使用するようにパブリック証明書を設定する方法について説明します。
コンソールでDNS検証を設定するには
注記
この手順では、少なくとも 1 つの証明書が既に作成されており、それを作成した AWS リージョンで作業していることを前提としています。コンソールを開いて最初の使用画面を表示しようとした場合、またはコンソールを正常に開いてもリストに証明書が表示されない場合は、正しいリージョンが指定されていることを確認します。
-
https://console.aws.amazon.com/acm/
で ACM コンソールを開きます。 -
証明書のリストで、証明書の設定を行う [Pending validation] (検証保留中) ステータスが付いた証明書の [Certificate ID] (証明書 ID) を選択します。このように、証明書の詳細ページを開きます。
-
[Domains] (ドメイン) セクションで、次の 2 つの手順の 1 つを完了します。
-
(オプション) Route 53 で検証します。
次の条件が true である場合に、アクティブな [Create record in Route 53] (Route 53 でレコードを作成) ボタンが表示されます。
-
Route 53 をDNSプロバイダーとして使用します。
-
Route 53 がホストするゾーンに対する書き込み許可があります。
-
FQDN はまだ検証されていません。
注記
実際に Route 53 を使用しているが、[Create record in Route 53] ボタンが見つからないか無効になっている場合は、「ACM コンソールに「Route 53 でレコードを作成」ボタンが表示されない」を参照してください。
[Create record in Route 53] (Route 53 でレコードを作成) ボタンを選択し、[Create records] (レコードを作成) を選択します。証明書ステータスページが開き、ステータスバナーが開き、正常に作成されたDNSレコードが報告されます。
新しい証明書は [Pending validation] (検証保留中) のステータスを最大 30 分間表示し続けます。
ヒント
Route 53 でレコードACMを自動的に作成する をプログラムでリクエストすることはできません。ただし、Route 53 データベースにレコードを作成するには、 AWS CLI または を Route 53 にAPI呼び出すことができますDNS。Route 53 レコードセットの詳細については、「リソースレコードセットの使用」を参照してください。
-
-
(オプション) DNSプロバイダーとして Route 53 を使用していない場合は、CNAME情報を取得してDNSデータベースを追加する必要があります。新しい証明書の詳細ページで次の 2 つのいずれかの方法を使用して、この処理を行うことができます。
-
ドメインセクションに表示されるCNAMEコンポーネントをコピーします。この情報は、DNSデータベースに手動で追加する必要があります。
-
または、 にエクスポート CSVを選択します。結果のファイルの情報は、DNSデータベースに手動で追加する必要があります。
重要
検証の問題を回避するには、DNSプロバイダーのデータベースに情報を追加するのCNAMEレコードのACM仕組み前に を確認してください。問題が発生した場合は、「DNS 検証に関する問題のトラブルシューティング」を参照してください。
-
-
ACM がCNAME値を生成してから 72 時間以内にドメイン名を検証できない場合、 は証明書のステータスを「検証タイムアウトACM」に変更します。 この結果の最も可能性の高い理由は、 がACM生成した値でDNS設定を正常に更新しなかったことです。この問題を解決するには、CNAME手順を確認した後に新しい証明書をリクエストする必要があります。
