パブリック証明書をリクエストする
以下のセクションでは、ACM コンソールまたは AWS CLI を使用してパブリック ACM 証明書をリクエストする方法を説明します。パブリック証明書をリクエストした後、「ドメインの所有権の検証」に記載されているいずれかの手順を完了する必要があります。
パブリック ACM 証明書は X.509 標準に準拠しており、次の制約事項が適用されます。
-
名前: DNS に準拠するサブジェクト名を使用する必要があります。詳細については、「ドメイン名」を参照してください。
-
アルゴリズム: 暗号化の場合、証明書のプライベートキーのアルゴリズムは 2048 ビット RSA、256 ビット ECDSA、または 384 ビット ECDSA のいずれかである必要があります。
-
有効期限: 各証明書は 13 か月間 (395 日間) 有効です。
-
更新: ACM は 11 か月後にプライベート証明書を自動的に更新しようとします。
証明書をリクエストするときに問題が発生した場合は、「証明書のリクエストのトラブルシューティング」を参照してください。
AWS Private CA を使用してプライベート PKI の証明書をリクエストするには、「プライベート PKI 証明書のリクエスト」を参照してください。
注記
管理者は ACM 条件付きキーポリシーを使用して、エンドユーザーによる新しい証明書の発行方法を制御します。これらの条件付きキーにより、証明書リクエストに関連するドメイン、検証方法、およびその他の属性に制限を設けることができます。
注記
オプトアウトを選択しない限り、パブリックに信頼された ACM 証明書は自動的に少なくとも 2 つの証明書の透明性データベースに記録されます。現在、コンソールを使用してオプトアウトすることはできません。AWS CLI または ACM API を使用する必要があります。詳しくは、証明書の透明性ログ記録のオプトアウト を参照してください。透明性ログの一般的な情報については、証明書の透明性ログ記録 を参照してください。
コンソールを使用してパブリック証明書をリクエストする
ACM パブリック証明書をリクエストするには (コンソール)
-
AWS マネジメントコンソールにサインインして ACM コンソール (https://console.aws.amazon.com/acm/home
) を開きます。 [証明書のリクエスト] を選択します。
-
[Domain names] (ドメイン名) セクションで、ドメイン名を入力します。
www.example.comのような完全修飾ドメイン名 (FQDN) やexample.comのようなネイキッドドメインあるいは apex ドメイン名を使用できます。また、同じドメインで複数のサイト名を保護するために、最左位置にアスタリスク (*) をワイルドカードとして使用できます。たとえば、*.example.comは、corp.example.comとimages.example.comを保護します。ワイルドカード名は、ACM 証明書の [件名] フィールドと [サブジェクト代替名] 拡張子に表示されます。ワイルドカード証明書をリクエストする場合、アスタリスク (
*) はドメイン名の左側に付ける必要があり、1 つのサブドメインレベルのみを保護できます。たとえば、*.example.comはlogin.example.comおよびtest.example.comを保護できますが、test.login.example.comを保護することはできません。また、*.example.comは、example.comのサブドメインのみを保護し、ネイキッドドメインまたは apex ドメイン (example.com) は保護しないことに注意してください。両方を保護するには、次のステップを参照してください。注記
RFC 5280
に準拠している場合、この手順で入力するドメイン名 (技術的には Common Name) の長さは、ピリオドを含む 64 オクテット (文字) を超えることはできません。ただし、後続の各サブジェクト代替名 (SAN) は、次の手順で、長さが最大 253 オクテットまで指定できます。 別の名前を追加するには、[この証明書に別の名前を追加] を選択し、テキストボックスに名前を入力します。これは、ネイキッドドメインまたは apex ドメイン (
example.comなど) の両方とそのサブドメイン (*.example.comなど) を保護するために役立ちます。 -
[Validation method] (検証方法) セクションで、必要に応じて [DNS validation – recommended] (DNS 検証 - 推奨) または [Email validation] (Email 検証) を選択します。
注記
DNS 設定を編集できる場合は、E メール検証ではなく DNS ドメイン検証を使用することをお勧めします。DNS 検証には E メール検証と比べていくつかの利点があります。「DNS での検証」を参照してください。
ACM は証明書を発行する前に、証明書リクエストのドメイン名の所有者または管理者を検証します。E メール検証または DNS 検証のいずれかを使用できます。
E メール検証を選択した場合、ACM は WHOIS データベースに登録されている 3 つの連絡先アドレスとドメイン名ごとに最大 5 つの一般的なシステム管理アドレスに検証 E メールを送信します。お客様または承認された担当者は、これらの E メールメッセージのいずれかに返信する必要があります。詳しくは、E メール検証 を参照してください。
DNS 検証を使用する場合は、ACM から提供される CNAME レコードを DNS 設定に追加するだけです。DNS 検証の詳細については、「DNS での検証」を参照してください。
-
[Key algorithm] (キーアルゴリズム) セクションで、使用可能な 3 つのアルゴリズムのいずれかを選択します。
-
RSA 2048 (デフォルト)
-
ECDSA P 256
-
ECDSA P 384
アルゴリズムの選択に役立つ情報については、キーアルゴリズム および AWS ブログ記事 「AWS Certificate Manager
で ECDSA 証明書を評価して使用する方法」を参照してください。 -
-
[Tags] (タグ) ページで、オプションで証明書にタグを付けることができます。タグとは、AWS リソースを識別および整理するためのメタデータとして機能するキーと値のペアのことを指します。ACM タグパラメータのリスト、および証明書作成後にタグを追加する方法については、「証明書への AWS Certificate Manager タグ付け」を参照してください。
タグの追加が完了したら、[Request] (リクエスト) を選択します。
-
リクエストが処理されると、コンソールは証明書リストに戻り、リストには新しい証明書の情報が表示されます。
トラブルシューティングのトピック「証明書のリクエストの失敗」に記載されているいずれかの理由で失敗しない限り、リクエストされると証明書のステータスが [Pending validation] (検証保留中) になります。ACM が証明書の検証を 72 時間繰り返し、タイムアウトします。証明書のステータスが [Failed] (失敗) または [Validation timed out] (検証タイムアウト) の場合、リクエストを削除し、「DNS での検証」または「E メール検証」で問題を修正してから、再度お試しください。検証が成功すると、証明書のステータスは [Issued] (発行済み) になります。
注記
リストの配列方法によっては、探している証明書がすぐには表示されない場合があります。右側の黒い三角形をクリックすると、配列を変更できます。また、右上のページ番号を使用して、証明書の複数のページを検索することもできます。
CLI を使用してパブリック証明書をリクエストする
request-certificate コマンドを使用して、コマンドラインに新しいパブリック ACM 証明書をリクエストします。検証方法のオプション値は DNS と EMAIL です。キーアルゴリズムのオプション値は、RSA_2048 (パラメータが明示的に指定されていない場合のデフォルト)、EC_prime256v1、および EC_secp384r1 です。
aws acm request-certificate \ --domain-name www.example.com \ --key-algorithm EC_Prime256v1 \ --validation-method DNS \ --idempotency-token 1234 \ --options CertificateTransparencyLoggingPreference=DISABLED
このコマンドは、新しいパブリック証明書の Amazon リソースネーム (ARN) を出力します。
{
"CertificateArn": "arn:aws:acm:region:account:certificate/certificate_ID"
} 