E メール検証 - AWS Certificate Manager
証明書の有効期限切れと更新検証 E メールを再送信する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

E メール検証

Amazon 認証局 (CA) がサイトの証明書を発行する前に、 AWS Certificate Manager (ACM) は、リクエストで指定したすべてのドメインをユーザーが所有または管理していることを確認する必要があります。E メールまたは DNS のいずれかを使用して検証を実行できます。このトピックでは、E メール検証について説明します。DNS 検証の詳細については、「DNS での検証」を参照してください。

E メール検証については、次の考慮事項に従ってください。

  • E メール検証を使用するには、ドメインに登録されている作業用 E メールアドレスが必要です。E メールアドレスの設定手順は、このガイドの対象外です。

  • 検証は、ACM によって発行されたパブリックに信頼できる証明書にのみ適用されます。ACM は、インポートされた証明書の、またはプライベート CA によって署名された証明書のドメインの所有権を検証しません。ACM は Amazon VPC プライベートホストゾーンまたは他のプライベートドメインのリソースを検証できません。詳細については、「証明書の検証のトラブルシューティング」を参照してください。

  • E メール検証を使用して証明書を作成した後は、DNS による検証に切り替えることはできません。

ACM 証明書の有効期間は 13 か月 (395 日) です。E メール検証された証明書を更新するには、ドメイン所有者によるアクションが必要です。ACM は、ドメインの WHOIS メールボックスアドレスと 5 つの一般的な管理者アドレスを使用して、有効期限切れの 45 日前に更新通知の送信を開始します。通知には、ドメイン所有者が簡単に更新するためにクリックできるリンクが含まれています。リストされているすべてのドメインが検証されると、ACM は同じ ARN で更新された証明書を発行します。

E メール検証を使用して問題が発生した場合は、「E メール検証の問題のトラブルシューティング」を参照してください。

ACM から、WHOIS データベースに記載されている 3 つの連絡先アドレスと、各ドメインに対して指定した最大 5 つの共通システムのアドレスに E メールメッセージが送信されます。つまり、リクエストに記載したドメイン名とサブジェクト代替名ごとに最大 8 通の E メールメッセージが送信されます。たとえば、1 つのドメイン名だけを指定した場合、最大 8 つの E メールメッセージが送信されます。検証するには、72 時間以内にこれらの 8 つのメッセージのうちの 1 つに対応する必要があります。3 つのドメイン名を指定した場合は、最大 24 メッセージが送信されます。検証するには、72 時間以内に、指定した名前ごとに 1 つずつ、少なくとも 3 つの E メールのメッセージに対応する必要があります。

WHOIS に登録された次の 3 つの連絡先アドレスに E メールメッセージが送信されます。

  • ドメインの登録者

  • テクニカル担当者

  • 管理者の連絡先

注記

証明書に 5 つの一般的なシステムアドレスを設定して監視することを強くお勧めします。WHOIS からの連絡先情報の取得は、信頼性がありません。WHOIS 検索の成功率は低く (5% 未満)、国際的なプライバシー法の遵守によるものです。

重要

2024 年 6 月以降、ACM は WHOIS 連絡先アドレスによる新規 E メールの検証をサポートしなくなります。既存の証明書については、2024 年 10 月以降、ACM はドメインの WHOIS 連絡先アドレスに更新通知を送信しません。ACM は引き続き、リクエストされたドメインの 5 つの共通システムアドレスに検証 E メールを送信します。詳細については、「E メール検証済み証明書の WHOIS AWS Certificate Manager 検索を中止します」を参照してください。

コンソールを使用して証明書をリクエストした場合、ACM は MX ルックアップを実行して、ドメインの E メールを受け入れるサーバーを決定し、最初に見つかったドメインの次の 5 つの一般的なシステムアドレスにメールを送信します。RequestCertificateAPI または request-certificate AWS CLI コマンドを使用する場合、ACM は MX ルックアップを実行しません。代わりに、DomainName またはオプションの ValidationDomain パラメータに指定された名前のドメインに E メールを送信します。詳しくは、MX レコード を参照してください。

  • administrator@your_domain_name

  • hostmaster@your_domain_name

  • postmaster@your_domain_name

  • webmaster@your_domain_name

  • admin@your_domain_name

ACM がドメインの E メールアドレスを決定する方法の詳細については、「(オプション) ドメインの E メールを設定する」を参照してください。

このプロセスの例外

www またはワイルドカードアスタリスク (*) で始まるドメイン名に対して ACM 証明書をリクエストする場合、 は、先頭の www またはアスタリスクを削除し、管理アドレスに E メールを送信します。これらのアドレスは、ドメイン名の残りの部分に admin@、administrator @、hostmaster@、postmaster@、webmaster@ を先頭に付加して形成されます。例えば、www.example.com に ACM 証明書をリクエストする場合、admin@www.example.com の代わりに admin@example.com に E メールが送信されます。同じように、*.test.example.com に ACM 証明書をリクエストする場合、admin@test.example.com に E メールが送信されます。残りの一般的な管理者アドレスも、同様に形成されます。

注記

E メールは、example.com などのサブドメインの管理アドレスではなく、test.example.com などの apex ドメインの管理アドレスに送信されるようにしてください。そのためには、API でオプションを指定するか、request-certificate コマンドを使用してください。ValidationDomainRequestCertificate AWS CLI コンソールを使用して証明書をリクエストする場合、この機能は現在サポートされていません。

すべてのメッセージが 1 つの E メールアドレスに送信される場合でも、ドメインまたはサブドメインごとに 1 つのメッセージに応答して、そのメッセージを検証して証明書を生成する必要があります。

証明書の有効期限切れと更新

ACM 証明書は 13 か月間 (395 日間) 有効です。E メール検証された証明書を更新するには、ドメイン所有者によるアクションが必要です。ACM は、ドメインの WHOIS メールボックスアドレスと 5 つの一般的な管理者アドレスを使用して、有効期限切れの 45 日前に更新通知の送信を開始します。通知には、ドメイン所有者が簡単に更新するためにクリックできるリンクが含まれています。リストされているすべてのドメインが検証されると、ACM は同じ ARN で更新された証明書を発行します。

詳細については、上記の「E メール検証」を参照してください。

(オプション) 検証メールの再送信

各検証 E メールには、証明書リクエストの承認に使用できるトークンが含まれています。ただし、承認プロセスに必要な検証 E メールがスパムフィルターによってブロックされたり、転送中に紛失した場合、トークンは 72 時間後に自動的に有効期限切れになります。元の E メールを受信しなかった場合、またはトークンの期限が切れた場合は、E メールの再送信をリクエストできます。

E メール検証に関する永続的な問題については、「トラブルシューティング」の E メール検証の問題のトラブルシューティング セクションを参照してください。

注記

以下の情報は ACM から提供される証明書と E メール検証を使用する証明書にのみ適用されます。検証 E メールは、プライベート PKI 証明書または ACM にインポートした証明書には必要ありません。DNS ドメイン検証の詳細については、「DNS での検証」を参照してください。

次のコンソールを使用して検証 E メールを再送信するには:

  1. AWS 管理コンソールにサインインし、https://console.aws.amazon.com/acm/home にある ACM コンソールを開きます。

  2. 証明書のリストで、検証する証明書の [Certificate ID] (証明書 ID) を選択します。このアクションにより、詳細ページが開きます。

    注記

    リストの配列方法によっては、探している証明書がすぐには表示されない場合があります。右側の黒い三角形をクリックすると、配列を変更できます。また、右上のページ番号を使用して、証明書の複数のページを検索することもできます。

  3. [Domains] (ドメイン) セクションで、[Resend validation email] (検証 E メールを再送信する) を選択し、検証が必要な各ドメインを選択し、[Resend] (再送信) を選択します。[Successfully resent validation emails] (検証 E メールが正常に再送信されました) ことがバナーで表示されます。

次を使用して検証 E メールを再送信するには: AWS CLI

resend-validation-emailコマンドを使用して E メールを再送信できます。

$ aws acm resend-validation-email --certificate-arn arn:aws:acm:Region:444455556666:certificate/certificate_ID --domain www.example.com --validation-domain example.com
注記

resend-validation-emailこのコマンドは E メール検証を使用する ACM 証明書にのみ適用されます。ACM にインポートした証明書、または ACM を使用して管理するプライベート証明書では、検証は必要ありません。