パブリック証明書をリクエストする - AWS Certificate Manager

パブリック証明書をリクエストする

以下のセクションでは、ACM コンソールまたは AWS CLI を使用してパブリック ACM 証明書をリクエストする方法を説明します。パブリック証明書をリクエストした後、「ドメインの所有権の検証」に記載されているいずれかの手順を完了する必要があります。

証明書をリクエストするときに問題が発生した場合は、「証明書のリクエストのトラブルシューティング」を参照してください。

AWS Private CA を使用してプライベート PKI の証明書をリクエストするには、「プライベート PKI 証明書のリクエスト」を参照してください。

注記

オプトアウトを選択しない限り、パブリックに信頼された ACM 証明書は自動的に少なくとも 2 つの証明書の透明性データベースに記録されます。現在、コンソールを使用してオプトアウトすることはできません。AWS CLI または ACM API を使用する必要があります。詳しくは、証明書の透明性ログ記録のオプトアウト を参照してください。透明性ログの一般的な情報については、証明書の透明性ログ記録 を参照してください。

コンソールを使用してパブリック証明書をリクエストする

ACM パブリック証明書をリクエストするには (コンソール)

  1. AWS マネジメントコンソールにサインインして ACM コンソール (https://console.aws.amazon.com/acm/home) を開きます。

    [証明書のリクエスト] を選択します。

  2. [Domain names] (ドメイン名) セクションで、ドメイン名を入力します。

    www.example.com のような完全修飾ドメイン名 (FQDN) や example.com のようなネイキッドドメインあるいは apex ドメイン名を使用できます。また、同じドメインで複数のサイト名を保護するために、最左位置にアスタリスク (*) をワイルドカードとして使用できます。たとえば、*.example.com は、corp.example.comimages.example.com を保護します。ワイルドカード名は、ACM 証明書の [件名] フィールドと [サブジェクト代替名] 拡張子に表示されます。

    ワイルドカード証明書をリクエストする場合、アスタリスク (*) はドメイン名の左側に付ける必要があり、1 つのサブドメインレベルのみを保護できます。たとえば、*.example.comlogin.example.com および test.example.com を保護できますが、test.login.example.com を保護することはできません。また、*.example.comは、example.com のサブドメインのみを保護し、ネイキッドドメインまたは apex ドメイン (example.com) は保護しないことに注意してください。両方を保護するには、次のステップを参照してください。

    注記

    RFC 5280 に準拠している場合、この手順で入力するドメイン名 (技術的には Common Name) の長さは、ピリオドを含む 64 オクテット (文字) を超えることはできません。ただし、後続の各サブジェクト代替名 (SAN) は、次の手順で、長さが最大 253 オクテットまで指定できます。

  3. 別の名前を追加するには、[この証明書に別の名前を追加] を選択し、テキストボックスに名前を入力します。これは、ネイキッドドメインまたは apex ドメイン (example.com など) の両方とそのサブドメイン (*.example.com など) を保護するために役立ちます。

  4. [Select validation method] (検証方法を選択) セクションで、必要に応じて [DNS validation] (DNS 検証) または [Email validation] (Email 検証) を選択します。

    注記

    DNS 設定を編集できる場合は、E メール検証ではなく DNS ドメイン検証を使用することをお勧めします。DNS 検証には E メール検証と比べていくつかの利点があります。「DNS での検証」を参照してください。

    ACM は証明書を発行する前に、証明書リクエストのドメイン名の所有者または管理者を検証します。E メール検証または DNS 検証のいずれかを使用できます。

    E メール検証を選択した場合、ACM は WHOIS データベースに登録されている 3 つの連絡先アドレスとドメイン名ごとに 5 つの一般的なシステム管理アドレスに検証 E メールを送信します。お客様または承認された担当者は、これらの E メールメッセージのいずれかに返信する必要があります。詳しくは、E メール検証 を参照してください。

    DNS 検証を使用する場合は、ACM から提供される CNAME レコードを DNS 設定に追加するだけです。DNS 検証の詳細については、「DNS での検証」を参照してください。

  5. [Tags] (タグ) ページで、オプションで証明書にタグを付けることができます。タグとは、AWS リソースを識別および整理するためのメタデータとして機能するキーと値のペアのことを指します。ACM タグパラメータのリスト、および証明書作成後にタグを追加する方法については、「AWSCertificate Manager 証明書のタグ付け」を参照してください。

    タグの追加が完了したら、[Request] (リクエスト) を選択します。

  6. リクエストが処理されると、コンソールは証明書リストに戻り、リストには新しい証明書の情報が表示されます。

    トラブルシューティングのトピック「証明書のリクエストの失敗」に記載されているいずれかの理由で失敗しない限り、リクエストされると証明書のステータスが [Pending validation] (検証保留中) になります。ACM が証明書の検証を 72 時間繰り返し、タイムアウトします。証明書のステータスが [Failed] (失敗) または [Validation timed out] (検証タイムアウト) の場合、リクエストを削除し、「DNS での検証」または「E メール検証」で問題を修正してから、再度お試しください。検証が成功すると、証明書のステータスは [Issued] (発行済み) になります。

    注記

    リストの配列方法によっては、探している証明書がすぐには表示されない場合があります。右側の黒い三角形をクリックすると、配列を変更できます。また、右上のページ番号を使用して、証明書の複数のページを検索することもできます。

CLI を使用してパブリック証明書をリクエストする

request-certificate コマンドを使用して、コマンドラインに新しいパブリック ACM 証明書をリクエストします。

aws acm request-certificate \ --domain-name www.example.com \ --validation-method DNS \ --idempotency-token 1234 \ --options CertificateTransparencyLoggingPreference=DISABLED

このコマンドは、新しいパブリック証明書の Amazon リソースネーム (ARN) を出力します。

{ "CertificateArn": "arn:aws:acm:region:account:certificate/certificate_ID" }