オプション 1: DNS での検証 - AWSCertificate Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

オプション 1: DNS での検証

ドメインネームシステム (DNS) は、ネットワークに接続されているリソースのディレクトリサービスです。DNS プロバイダーは、ドメインを定義するレコードを含むデータベースを維持します。DNS 検証を選択すると、ACM はこのデータベースに追加する必要がある 1 つ以上の CNAME レコードが ACM から提供されます。これらのレコードには、ドメインを制御する証拠となる一意のキーと値のペアが含まれています。

たとえば、証明書をリクエストした場合example.comドメインの使用www.example.com追加の名前として、ACM によって 2 つの CNAME レコードが作成されます。各レコードは、ユーザーのドメインおよびアカウントに固有のものとして作成され、名前と値が含まれます。値は、を指すエイリアスです。AWSドメインです。このドメインは、ACM が証明書を自動的に更新するために使用されます。CNAME レコードは、DNS データベースに追加できるのは 1 回のみです。証明書は使用中であり、CNAME レコードが残っている状態であれば、証明書は ACM によって自動的に更新されます。

重要

パブリック DNS レコードを管理するために Amazon Route53 を使用しない場合は、レコードを追加する方法をDNS プロバイダーに問い合わせてください。ドメインの DNS データベースを編集する権限がない場合は、E メール検証代わりに。

検証を繰り返さなくても、CNAME レコードが残っている限り、完全修飾ドメイン名 (FQDN) に追加の ACM 証明書を要求できます。つまり、同じドメイン名を持つ置換証明書、または異なるサブドメインに対応する証明書を作成できます。CNAME検証トークンは、AWSリージョンでは、複数のリージョンで同じ証明書を再作成できます。削除された証明書を置き換えることもできます。

自動更新を停止するには、証明書をAWSサービスまたは CNAME レコードを削除します。DNS プロバイダーが Route53 ではない場合は、レコードを削除する方法をプロバイダーに問い合わせてください。Route53 がプロバイダーである場合は、リソースレコードセットの削除()Route53 開発者ガイド。証明書のマネージド型更新の詳細については、「ACM 証明書の管理された書き換え」を参照してください。

注記

DNS 構成で 5 つ以上の CNAME が連結されている場合、CNAME 解決は失敗します。より長い連鎖が必要な場合は、E メール検証

ACM の CNAME レコードの動作

注記

このセクションは、Route53 を DNS プロバイダーとして使用しないお客様を対象としています。

DNS プロバイダーとして Route53 を使用していない場合は、ACM から提供された CNAME レコードを、プロバイダーのデータベースに (通常は Web サイトを介して) 手動で入力する必要があります。CNAME レコードは、リダイレクトメカニズムやベンダー固有のメタデータのコンテナーなど、さまざまな目的で使用されます。ACM では、これらのレコードにより、初期ドメイン所有権の検証と継続的な自動証明書の更新が可能になります。

次の表に、6 つのドメイン名に対する CNAME レコードの例を示します。各レコードのレコード名-レコード値ペアは、ドメイン名の所有権を認証します。

表では、最初の2つのレコード名-レコード値ペアは同じです。これは、ワイルドカードドメインの場合、*.example.comの場合、ACM によって作成されたランダムな文字列は、そのベースドメインexample.com。それ以外の場合は、ペアのレコード名およびレコード値ドメイン名ごとに異なります。

CNAME レコードの例
ドメイン名 レコード名 レコード値 コメント
*.example.com _X1.example.com. _X2.acm-validations.aws. 同一
example.com _X1.example.com. _X2.acm-validations.aws.
www.example.com _X3.www.example.com. _x4.acm-validations.aws. Unique
host.example.com _X5host.example.com. _x6.acm-validations.aws. Unique
subdomain.example.com _x7.subdomain.example.com. _x8.acm-validations.aws. Unique
host.subdomain.example.com _x9.host.subdomain.example.com. _x10.acm-validations.aws. Unique

-xアンダースコア (_) に続く値は、ACM によって生成されるランダムな長い文字列を表します。例えば、

_3639ac514e785e898d2646601fa951d5.example.com

生成されたレコード名。関連付けレコード値かもしれない

_98d2646601fa951d53639ac514e785e8.acm-validation.aws.

同じレコードの。

注記

DNS プロバイダーがアンダースコアで始まる CNAME 値をサポートしていない場合は、」を参照してください。DNS 検証の問題のトラブルシューティング

証明書を要求し、DNS 検証を指定すると、ACM は次の形式で CNAME 情報を提供します。

ドメイン名 レコード名 レコードタイプ レコード値
example.com _a79865eb4cd1a6ab990a45779b4e0b96.example.com。 CNAME

_424c7224e9b0146f9a8808af955727d0.hkmpvcwbzw.acm-validations.aws.

ドメイン名は、証明書に関連付けられた FQDN です。レコード名は、キーと値のペアのキーとして機能するレコードを一意に識別します。レコード値キーと値のペアの値として機能します。

これらの 3 つの値はすべて、DNS レコードを追加するための DNS プロバイダーのウェブインターフェイスの適切なフィールドに入力する必要があります。プロバイダは、レコード名(または単に「名前」)フィールドの処理に一貫性がありません。場合によっては、上記のように文字列全体を提供することが期待されます。他のプロバイダは、入力した文字列に自動的にドメイン名を付加します。つまり、(この例では)

_a79865eb4cd1a6ab990a45779b4e0b96

を名前フィールドに入力します。これについて間違っていると思われる場合は、ドメイン名を含むレコード名(.example.com) には、次のようなものがあります。

_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com

この場合、検証は失敗します。したがって、プロバイダが期待する入力のタイプを事前に決定する必要があります。

DNS 検証のセットアップ

コンソールで DNS 検証を設定するには

  1. にサインインします。AWS管理コンソールを開き、から ACM コンソールを開きます。https://console.aws.amazon.com/acm/home。入門者向けページが表示される場合は、[Get Started Now] を選択します。それ以外の場合は、[Request a certificate] を選択します。

  2. [Request a certificate] ページで、ドメイン名を入力します。ドメイン名を入力する場合の詳細については、「パブリック証明書のリクエスト」を参照してください。

  3. ACM 証明書に複数のドメイン名を追加するには、入力した名前の下方に表示されるテキストボックスに別の名前を入力します。

  4. [Next] を選択します。

  5. 選択DNS での検証および

  6. リポジトリの []タグを追加するページでは、オプションで証明書にメタデータにタグを付けることができます。選択確認完了したら。

  7. リポジトリの []確認ページで、ドメイン名と検証方法が正しいことを確認し、[確認とリクエストする

  8. リポジトリの []検証ページで、次の 2 つの手順を実行します。

    1. (任意)Route53 で検証します。

      リポジトリの []検証ページで、ドメイン名の横にある下向き矢印をクリックします。アクティブなRoute 53 でレコードを作成する次の条件に該当する場合に、ボタンが表示されます。

      • DNS プロバイダーとして Route53 を使用します。

      • Route53 がホストするゾーンに対する書き込み権限があります。

      • FQDN がまだ検証されていません

      注記

      実際にRoute53を使用しているが、Route 53 でレコードを作成するボタンが見つからないか無効になっている場合は、ACM コンソールに「Route53でレコードを作成」ボタンが表示されない

      [Route 53 でレコードを作成するボタンを選択し、作成。-検証ページにステータス通知が表示されるようになりました。成功の下部にあります。

      選択続行を表示するには証明書リストページが表示され、新しい証明書の状態が検証保留中最大 30 分.

      ヒント

      ACM が Route53 にレコードを自動的に作成するようプログラムによってリクエストすることはできません。ただし、AWS CLIまたは Route53 への API 呼び出しを実行して、Route53 DNS データベースにレコードを作成します。Route53 レコードセットの詳細については、」を参照してください。リソースレコードセットの操作

    2. (オプション)Route53 を DNS プロバイダーとして使用していない場合は、検証ページに移動し、DNS データベースを追加します。これには 2 つの方法があります。

      • 分野セクションで、ドメイン情報を展開し、CNAME コンポーネントを記録します。この情報は、DNS データベースに手動で追加する必要があります。

      • または、[DNS 設定をファイルにエクスポートするの最下部にある検証ページで. ファイル内の情報は、DNS データベースに手動で追加する必要があります。

      重要

      検証の問題を回避するには、ACM の CNAME レコードの動作DNS プロバイダーのデータベースに情報を追加する前に、問題が発生した場合は、」DNS 検証の問題のトラブルシューティング

      DNS プロバイダーの設定ページで CNAME を追加した後、ACM コンソールが開いている場合は ACM コンソールに戻り、続行。コンソールをすでに閉じている場合は、後でコンソールに戻って、証明書リクエストのステータスを確認できます。

      -証明書ページには、すべての証明書を記載した表が表示されます。DNS プロバイダーからレコードの更新が伝達された後、ACM がドメイン名を検証して証明書を発行するまで数時間かかることがあります。この間、ACM では検証ステータスが検証保留中。ACM では、ドメイン名の検証後、検証ステータスが成功。AfterAWSから証明書が発行された後、ACM では証明書のステータスが発行済み

    注記

    CNAME の値を生成してから 72 時間以内に ACM でドメイン名が検証されない場合、ACM では証明書の状態が検証がタイムアウトしました。この結果が生じる主な理由として、DNS 設定を ACM によって生成された値で正常に更新しなかったことが考えられます。この問題を修正するには、CNAME の手順を確認した後に新しい証明書をリクエストする必要があります。