E メール検証 - AWS Certificate Manager
証明書の有効期限切れと更新検証 E メールを再送信する

E メール検証

Amazon 認証局 (CA) がサイトの証明書を発行する前に、AWS Certificate Manager (ACM) は、ユーザーがリクエストで指定したすべてのドメインの所有者または管理者であることを確認する必要があります。E メールまたは DNS のいずれかを使用して検証を実行できます。このトピックでは、E メール検証について説明します。DNS 検証の詳細については、「DNS での検証」を参照してください。

E メール検証については、次の考慮事項に従ってください。

  • E メール検証を使用するには、ドメインに登録されている作業用 E メールアドレスが必要です。E メールアドレスの設定手順は、このガイドの対象外です。

  • 検証は、ACM によって発行されたパブリックに信頼できる証明書にのみ適用されます。ACM は、インポートされた証明書の、またはプライベート CA によって署名された証明書のドメインの所有権を検証しません。ACM は Amazon VPC プライベートホストゾーンまたは他のプライベートドメインのリソースを検証できません。詳細については、「証明書の検証のトラブルシューティング」を参照してください。

  • E メール検証を使用して証明書を作成した後は、DNS による検証に切り替えることはできません。

ACM 証明書の有効期間は 13 か月 (395 日) です。E メール検証された証明書を更新するには、ドメイン所有者によるアクションが必要です。ACM は、ドメインの WHOIS メールボックスアドレスと 5 つの一般的な管理者アドレスを使用して、有効期限切れの 45 日前に更新通知の送信を開始します。通知には、ドメイン所有者が簡単に更新するためにクリックできるリンクが含まれています。リストされているすべてのドメインが検証されると、ACM は同じ ARN で更新された証明書を発行します。

E メール検証を使用して問題が発生した場合は、「E メール検証の問題のトラブルシューティング」を参照してください。

ACM から、WHOIS データベースに記載されている 3 つの連絡先アドレスと、各ドメインに対して指定した 5 つの共通システムのアドレスに E メールメッセージが送信されます。つまり、リクエストに記載したドメイン名とサブジェクト代替名ごとに最大 8 通の E メールメッセージが送信されます。たとえば、1 つのドメイン名だけを指定した場合、最大 8 つの E メールメッセージが送信されます。検証するには、72 時間以内にこれらの 8 つのメッセージのうちの 1 つに対応する必要があります。3 つのドメイン名を指定した場合は、最大 24 メッセージが送信されます。検証するには、72 時間以内に、指定した名前ごとに 1 つずつ、少なくとも 3 つの E メールのメッセージに対応する必要があります。

WHOIS に登録された次の 3 つの連絡先アドレスに E メールメッセージが送信されます。

  • ドメインの登録者

  • テクニカル担当者

  • 管理者の連絡先

注記

一部のレジストラでは、WHOIS リストから連絡先情報を隠すことができます。また、そのほかでは、実際の E メールアドレスをプライバシー (またはプロキシ) アドレスに置き換えることができます。ACM からドメイン検証 E メールの受信に関する問題を防ぐためには、連絡先情報が WHOIS に表示されていることを確認してください。WHOIS のリストにプライバシー E メールアドレスが表示されている場合は、そのアドレスに送信された E メールが実際の E メールアドレスに転送されていることを確認してください。あるいは、実際の E メールアドレスをリスト表示してください。

コンソールを使用して証明書をリクエストした場合、ACM は MX ルックアップを実行して、ドメインの E メールを受け入れるサーバーを決定し、最初に見つかったドメインの次の 5 つの一般的なシステムアドレスにメールを送信します。RequestCertificate API または request-certificateAWS CLI コマンドを使用した場合、ACM は MX ルックアップを実行しません。代わりに、DomainName またはオプションの ValidationDomain パラメータに指定された名前のドメインに E メールを送信します。詳しくは、MX レコード を参照してください。

  • administrator@your_domain_name

  • hostmaster@your_domain_name

  • postmaster@your_domain_name

  • webmaster@your_domain_name

  • admin@your_domain_name

ACM がドメインの E メールアドレスを決定する方法の詳細については、「(オプション) ドメインの E メールを設定する」を参照してください。

このプロセスの例外

www またはワイルドカードアスタリスク (*) で始まるドメイン名に対して ACM 証明書をリクエストする場合、 は、先頭の www またはアスタリスクを削除し、管理アドレスに E メールを送信します。これらのアドレスはドメイン名の残りの部分に admin@、administrator@、hostmaster@、postmaster@、および webmaster@ を前置することによって形成されます。例えば、www.example.com に ACM 証明書をリクエストする場合、admin@www.example.com の代わりに admin@example.com に E メールが送信されます。同じように、*.test.example.com に ACM 証明書をリクエストする場合、admin@test.example.com に E メールが送信されます。残りの一般的な管理者アドレスも、同様に形成されます。

注記

E メールは、example.com などのサブドメインの管理アドレスではなく、test.example.com などの apex ドメインの管理アドレスに送信されるようにしてください。そのためには、ValidationDomainRequestCertificate API または request-certificatehttps://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html コマンドで AWS CLI オプションを指定します。コンソールを使用して証明書をリクエストする場合、この機能は現在サポートされていません。

すべてのメッセージが 1 つの E メールアドレスに送信される場合でも、ドメインまたはサブドメインごとに 1 つのメッセージに応答して、そのメッセージを検証して証明書を生成する必要があります。

証明書の有効期限切れと更新

ACM 証明書は 13 か月間 (395 日間) 有効です。E メール検証された証明書を更新するには、ドメイン所有者によるアクションが必要です。ACM は、ドメインの WHOIS メールボックスアドレスと 5 つの一般的な管理者アドレスを使用して、有効期限切れの 45 日前に更新通知の送信を開始します。通知には、ドメイン所有者が簡単に更新するためにクリックできるリンクが含まれています。リストされているすべてのドメインが検証されると、ACM は同じ ARN で更新された証明書を発行します。

詳細については、上記の「E メール検証」を参照してください。

(オプション) 検証メールの再送信

各検証 E メールには、証明書リクエストの承認に使用できるトークンが含まれています。ただし、承認プロセスに必要な検証 E メールがスパムフィルターによってブロックされたり、転送中に紛失した場合、トークンは 72 時間後に自動的に有効期限切れになります。元の E メールを受信しなかった場合、またはトークンの期限が切れた場合は、E メールの再送信をリクエストできます。

E メール検証に関する永続的な問題については、「トラブルシューティング」の E メール検証の問題のトラブルシューティング セクションを参照してください。

注記

以下の情報は ACM から提供される証明書と E メール検証を使用する証明書にのみ適用されます。検証 E メールは、プライベート PKI 証明書または ACM にインポートした証明書には必要ありません。DNS ドメイン検証の詳細については、「DNS での検証」を参照してください。

次のコンソールを使用して検証 E メールを再送信するには:

  1. AWS マネジメントコンソールにサインインして ACM コンソール (https://console.aws.amazon.com/acm/home) を開きます。

  2. 証明書のリストで、検証する証明書の [Certificate ID] (証明書 ID) を選択します。このアクションにより、詳細ページが開きます。

    注記

    リストの配列方法によっては、探している証明書がすぐには表示されない場合があります。右側の黒い三角形をクリックすると、配列を変更できます。また、右上のページ番号を使用して、証明書の複数のページを検索することもできます。

  3. [Domains] (ドメイン) セクションで、[Resend validation email] (検証 E メールを再送信する) を選択し、検証が必要な各ドメインを選択し、[Resend] (再送信) を選択します。[Successfully resent validation emails] (検証 E メールが正常に再送信されました) ことがバナーで表示されます。

次を使用して検証 E メールを再送信するには:AWS CLI

resend-validation-email コマンドを使用して、E メールを再送信できます。

$ aws acm resend-validation-email --certificate-arn arn:aws:acm:region:account:certificate/certificate_ID --domain www.example.com --validation-domain example.com
注記

resend-validation-email コマンドは、E メール検証を使用するための ACM 証明書にのみ適用されます。ACM にインポートした証明書、または ACM を使用して管理するプライベート証明書では、検証は必要ありません。