AWS Certificate Manager HTTP 検証 - AWS Certificate Manager
ACM の HTTP リダイレクトの仕組みHTTP 検証の設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Certificate Manager HTTP 検証

Hypertext Transfer Protocol (HTTP) は、World Wide Web 上のデータ通信の基本プロトコルです。CloudFront で使用される証明書の HTTP 検証を選択すると、ACM はこのプロトコルを活用してドメインの所有権を検証します。ACM は CloudFront と連携して、ドメイン上のその URL でアクセス可能にする必要がある特定の URL と一意のトークンを提供します。このトークンは、ドメインを制御する証拠として機能します。ドメインから CloudFront インフラストラクチャ内の ACM 制御の場所へのリダイレクトを設定することで、ドメインのコンテンツを変更し、所有権を検証する能力を示します。ACM と CloudFront のシームレスな統合により、特に CloudFront ディストリビューションの場合、証明書の発行プロセスが簡素化されます。

重要

HTTP 検証では、ワイルドカードドメイン証明書 (*.example.com など) はサポートされていません。ワイルドカード証明書の場合は、代わりに DNS 検証または E メール検証を使用する必要があります。

例えば、CloudFront を使用して追加名www.example.comとして を持つexample.comドメインの証明書をリクエストすると、ACM は HTTP 検証用の 2 セットの URLs を提供します。各セットには、ドメインと AWS アカウント専用に作成された redirectFrom URL と redirectTo URL が含まれています。redirectFrom URL は、設定する必要があるドメイン ( などhttp://example.com/.well-known/pki-validation/example.txt) のパスです。redirectTo URL は、一意の検証トークンが保存されている CloudFront インフラストラクチャ内の ACM 制御の場所を指します。これらのリダイレクトは 1 回だけ設定する必要があります。認証機関がドメインの所有権を検証しようとすると、CloudFront が redirectFrom URL にリダイレクトする redirectTo URL からファイルをリクエストし、検証トークンへのアクセスを許可します。ACM は、証明書が CloudFront で使用され、リダイレクトが維持されている限り、証明書を自動的に更新します。

CloudFront で完全修飾ドメイン名 (FQDN) の HTTP 検証を設定したら、HTTP リダイレクトが設定されている限り、検証プロセスを繰り返すことなく、その FQDN に追加の ACM 証明書をリクエストできます。つまり、同じドメイン名の代替証明書、または異なるサブドメインをカバーする証明書を作成できます。HTTP 検証トークンは CloudFront が利用可能な任意の AWS リージョンで機能するため、複数のリージョンで同じ証明書を再作成できます。リダイレクトがまだアクティブであれば、検証プロセスを再度実行せずに、削除された証明書を置き換えることもできます。

HTTP 検証済み証明書の自動更新を停止するには、2 つのオプションがあります。証明書は、関連付けられている CloudFront ディストリビューションから削除することも、検証用に設定した HTTP リダイレクトを削除することもできます。CloudFront 以外のコンテンツ配信ネットワーク (CDN) またはウェブサーバーを使用してリダイレクトを管理している場合は、そのドキュメントを参照してリダイレクトを削除する方法を確認してください。CloudFront を使用してリダイレクトを管理している場合は、ディストリビューションの設定を更新することでリダイレクトを削除できます。証明書のマネージド型更新の詳細については、「でのマネージド証明書の更新 AWS Certificate Manager」を参照してください。自動更新を停止すると、証明書の有効期限が切れ、HTTPS トラフィックが中断される可能性があることに注意してください。

ACM の HTTP リダイレクトの仕組み

注記

このセクションは、コンテンツ配信に CloudFront を使用し、SSL/TLS 証明書管理に ACM を使用しているお客様を対象としています。

ACM と CloudFront で HTTP 検証を使用する場合は、HTTP リダイレクトを設定する必要があります。これらのリダイレクトにより、ACM は最初の証明書発行と継続的な自動更新のためにドメインの所有権を検証できます。リダイレクトメカニズムは、ドメイン上の特定の URL を、一意の検証トークンが保存されている CloudFront インフラストラクチャ内の ACM 制御の場所を指すことによって機能します。

次の表は、ドメイン名のリダイレクト設定の例を示しています。HTTP 検証はワイルドカードドメイン (*.example.com など) をサポートしていないことに注意してください。各設定の Redirect From-Redirect To ペアは、ドメイン名の所有権を認証する役割を果たします。

HTTP リダイレクト設定の例
ドメイン名 からリダイレクトする リダイレクト先 コメント
example.com

http://example.com/.well-known/pki-validation/x2.txt

https://validation.region.acm-validations.aws/y2/.well-known/pki-validation/x2.txt

Unique
www.example.com

http://www.example.com/.well-known/pki-validation/x3.txt

https://validation.region.acm-validations.aws/y3/.well-known/pki-validation/x3.txt

Unique
host.example.com

http://host.example.com/.well-known/pki-validation/x4.txt

https://validation.region.acm-validations.aws/y4/.well-known/pki-validation/x4.txt

Unique
subdomain.example.com

http://subdomain.example.com/.well-known/pki-validation/x5.txt

https://validation.region.acm-validations.aws/y5/.well-known/pki-validation/x5.txt

Unique
host.subdomain.example.com

http://host.subdomain.example.com/.well-known/pki-validation/x6.txt

https://validation.region.acm-validations.aws/y6/.well-known/pki-validation/x6.txt

Unique

ファイル名の xN 値と ACM 制御ドメインの yN 値は、ACM によって生成される一意の識別子です。例えば、 などです

http://example.com/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt

は、生成されたリダイレクト元 URL を表します。関連するリダイレクト先 URL は

https://validation.region.acm-validations.aws/98d2646601fa/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt

同じ検証レコードの 。

注記

ウェブサーバーまたはコンテンツ配信ネットワークが指定されたパスでのリダイレクトの設定をサポートしていない場合は、「HTTP 検証問題のトラブルシューティング」を参照してください。

証明書をリクエストして HTTP 検証を指定すると、ACM は次の形式でリダイレクト情報を提供します。

ドメイン名 からリダイレクトする リダイレクト先
example.com http://example.com/.well-known/pki-validation/a79865eb4cd1a6ab990a45779b4e0b96.txt https://validation.region.acm-validations.aws/a424c7224e9b/.well-known/pki-validation/a79865eb4cd1a6ab990a45779b4e0b96.txt

ドメイン名は、証明書に関連付けられた FQDN です。Redirect From は、ACM が検証ファイルを検索するドメイン上の URL です。Redirect To は、実際の検証ファイルがホストされている ACM 制御の URL です。

Redirect From URL から Redirect To URL にリクエストをリダイレクトするようにウェブサーバーまたは CloudFront ディストリビューションを設定する必要があります。 このリダイレクトをセットアップする正確な方法は、ウェブサーバーソフトウェアまたは CloudFront 設定によって異なります。ACM がドメインの所有権を検証し、証明書を発行または更新できるように、リダイレクトが正しく設定されていることを確認します。

HTTP 検証の設定

ACM は、CloudFront で使用するパブリック SSL/TLS 証明書を発行するときに、HTTP 検証を使用してドメインの所有権を検証します。このセクションでは、HTTP 検証を使用するようにパブリック証明書を設定する方法について説明します。

コンソールで HTTP 検証を設定するには
注記

この手順では、CloudFront を通じて証明書をリクエスト済みであり、それを作成した AWS リージョンで作業していることを前提としています。HTTP 検証は、CloudFront ディストリビューションテナント機能を通じてのみ使用できます。

  1. ACM コンソール (https://console.aws.amazon.com/acm/) を開きます。

  2. 証明書のリストで、証明書の設定を行う [Pending validation] (検証保留中) ステータスが付いた証明書の [Certificate ID] (証明書 ID) を選択します。このように、証明書の詳細ページを開きます。

  3. ドメインセクションで、証明書リクエストの各ドメインのリダイレクト元リダイレクト先の値を確認できます。

  4. ドメインごとに、リダイレクト元 URL からリダイレクト先 URL への HTTP リダイレクトを設定します。これを行うには、CloudFront ディストリビューション設定を使用します。

  5. リダイレクト元 URL からリダイレクト先 URL にリクエストをリダイレクトするように CloudFront ディストリビューションを設定します。 このリダイレクトを設定する方法は、CloudFront の設定によって異なります。

  6. リダイレクトを設定すると、ACM は自動的にドメインの所有権の検証を試みます。このプロセスには最長 30 分かかることがあります。

ACM がリダイレクト値を生成してから 72 時間以内にドメイン名を検証できない場合、ACM は証明書のステータスを検証タイムアウトに変更します。この結果の最も可能性の高い理由は、HTTP リダイレクトが正常に設定されなかったことです。この問題を修正するには、リダイレクト手順を確認した後に新しい証明書をリクエストする必要があります。

重要

検証の問題を回避するには、Redirect From の場所のコンテンツが Redirect To の場所のコンテンツと一致することを確認してください。問題が発生した場合は、HTTP 検証の問題のトラブルシューティング を参照してください。

注記

DNS 検証とは異なり、ACM が HTTP リダイレクトを自動的に作成するようにプログラムでリクエストすることはできません。これらのリダイレクトは、CloudFront ディストリビューション設定を使用して設定する必要があります。

HTTP 検証の仕組みの詳細については、「」を参照してくださいACM の HTTP リダイレクトの仕組み