E メール検証 - AWS Certificate Manager

E メール検証

Amazon 認証局 (CA) がサイトの証明書を発行する前に、AWS Certificate Manager (ACM) は、ユーザーがリクエストで指定したすべてのドメインの所有者または管理者であることを確認する必要があります。E メールまたは DNS のいずれかを使用して検証を実行できます。このトピックでは、E メール検証について説明します。DNS 検証の詳細については、「DNS での検証」を参照してください。

注記

E メール検証を使用するには、ドメインに登録されている作業用 E メールアドレスが必要です。E メールアドレスの設定手順は、このガイドの対象外です。

ACM 証明書は 13 か月間 (395 日間) 有効です。E メールで検証済みの証明書を更新するには、ドメイン所有者によるアクションが必要です。ACM は、ドメインの WHOIS メールボックスアドレスと 5 つの共通の管理者アドレスを使用して、有効期限切れの 45 日前に更新通知の送信を開始します。通知には、ドメイン所有者が簡単に更新するためにクリックできるリンクが含まれています。リストされているすべてのドメインが検証されると、ACM は同じ ARN で更新された証明書を発行します。

E メール検証を使用して問題が発生した場合は、「E メール検証の問題のトラブルシューティング」を参照してください。

注記

検証は、ACM によって発行されたパブリックに信頼できる証明書にのみ適用されます。ACM は、インポートされた証明書の、またはプライベート CA によって署名された証明書のドメインの所有権を検証しません。

ACM から、WHOIS データベースに記載されている 3 つの連絡先アドレスと、各ドメインに対して指定した 5 つの共通システムのアドレスに E メールメッセージが送信されます。つまり、リクエストに記載したドメイン名とサブジェクト代替名ごとに最大 8 通の E メールメッセージが送信されます。たとえば、1 つのドメイン名だけを指定した場合、最大 8 つの E メールメッセージが送信されます。検証するには、72 時間以内にこれらの 8 つのメッセージのうちの 1 つに対応する必要があります。3 つのドメイン名を指定した場合は、最大 24 メッセージが送信されます。検証するには、72 時間以内に、指定した名前ごとに 1 つずつ、少なくとも 3 つの E メールのメッセージに対応する必要があります。

WHOIS に登録された次の 3 つの連絡先アドレスに E メールメッセージが送信されます。

  • ドメインの登録者

  • テクニカル担当者

  • 管理者の連絡先

注記

一部のレジストラでは、WHOIS リストから連絡先情報を隠すことができます。また、そのほかでは、実際の E メールアドレスをプライバシー (またはプロキシ) アドレスに置き換えることができます。ACM からドメイン検証 E メールの受信に関する問題を防ぐためには、連絡先情報が WHOIS に表示されていることを確認してください。WHOIS のリストにプライバシー E メールアドレスが表示されている場合は、そのアドレスに送信された E メールが実際の E メールアドレスに転送されていることを確認してください。あるいは、実際の E メールアドレスをリスト表示してください。

コンソールを使用して証明書をリクエストした場合、ACM は MX ルックアップを実行して、ドメインの E メールを受け入れるサーバーを決定し、最初に見つかったドメインの次の 5 つの一般的なシステムアドレスにメールを送信します。RequestCertificate API または request-certificateAWS CLI コマンドを使用した場合、ACM は MX ルックアップを実行しません。代わりに、DomainName またはオプションの ValidationDomain パラメータに指定された名前のドメインに E メールを送信します。詳細については、「MX レコード」を参照してください。

  • administrator@your_domain_name

  • hostmaster@your_domain_name

  • postmaster@your_domain_name

  • webmaster@your_domain_name

  • admin@your_domain_name

ACM がドメインの E メールアドレスを決定する方法の詳細については、「(オプション) ドメインの E メールを設定する」を参照してください。

このプロセスの例外

www またはワイルドカードアスタリスク (*) で始まるドメイン名に対して ACM 証明書をリクエストする場合、 は、先頭の www またはアスタリスクを削除し、管理アドレスに E メールを送信します。これらのアドレスはドメイン名の残りの部分に admin@、administrator@、hostmaster@、postmaster@、および webmaster@ を前置することによって形成されます。例えば、www.example.com に ACM 証明書をリクエストする場合、admin@www.example.com の代わりに admin@example.com に E メールが送信されます。同じように、*.test.example.com に ACM 証明書をリクエストする場合、admin@test.example.com に E メールが送信されます。残りの一般的な管理者アドレスも、同様に形成されます。

注記

E メールは、example.com などのサブドメインの管理アドレスではなく、test.example.com などの apex ドメインの管理アドレスに送信されるようにしてください。そのためには、ValidationDomainRequestCertificate API または request-certificate コマンドで AWS CLI オプションを指定します。コンソールを使用して証明書をリクエストする場合、この機能は現在サポートされていません。

すべてのメッセージが 1 つの E メールアドレスに送信される場合でも、ドメインまたはサブドメインごとに 1 つのメッセージに応答して、そのメッセージを検証して証明書を生成する必要があります。

証明書の有効期限切れと更新

ACM 証明書は 13 か月間 (395 日間) 有効です。E メールで検証済みの証明書を更新するには、ドメイン所有者によるアクションが必要です。ACM は、ドメインの WHOIS メールボックスアドレスと 5 つの共通の管理者アドレスを使用して、有効期限切れの 45 日前に更新通知の送信を開始します。通知には、ドメイン所有者が簡単に更新するためにクリックできるリンクが含まれています。リストされているすべてのドメインが検証されると、ACM は同じ ARN で更新された証明書を発行します。

(オプション) 検証メールの再送信

E メールを使用して、ユーザーがドメインの所有者または管理者であることを検証します。各 E メールには、証明書リクエストの承認に使用できる検証トークンが含まれています。ただし、承認プロセスに必要な検証 E メールがスパムフィルターによってブロックされたり、転送中に紛失した場合、検証トークンは 72 時間後に自動的に有効期限切れになります。元の E メールを受信しなかった場合、またはトークンの期限が切れた場合は、E メールの再送信をリクエストできます。

E メール検証に関する永続的な問題については、「Troubleshooting」の E メール検証の問題のトラブルシューティング セクションを参照してください。

注記

以下の情報は ACM から提供される証明書と E メール検証を使用する証明書にのみ適用されます。検証 E メールは、ACM にインポートした証明書には必要ありません。DNS ドメイン検証の詳細については、「DNS での検証」を参照してください。

次のコンソールを使用して検証 E メールを再送信するには:

AWS マネジメントコンソールにサインインして ACM コンソール (https://console.aws.amazon.com/acm/home) を開きます。証明書のリストで [検証保留中] のステータスを示す証明書を見つけ、そのチェックボックスを選択し、[Actions (アクション)]を選択してから、[検証 E メールの再送信]を選択します。72 時間が経過し、証明書ステータスが [Timed out] に変更された場合、検証 E メールを再送信することはできません。

次を使用して検証 E メールを再送信するには:AWS CLI

resend-validation-email コマンドを使用して、E メールを再送信できます。

$ aws acm resend-validation-email --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012 --domain www.example.com --validation-domain example.com
注記

resend-validation-email コマンドは、E メール検証を使用するための ACM 証明書にのみ適用されます。ACM にインポートした証明書、または ACM を使用して管理するプライベート証明書では、検証は必要ありません。