AWS Certificate Manager
ユーザーガイド (Version 1.0)

マネージド証明書の更新に関する問題のトラブルシューティング

ACM は、ユーザーがアクションを行わずにすむように、有効期限が切れる前に ACM 証明書を自動的に更新します。ACM の Amazon が発行する証明書のマネージド型更新 で問題が発生した場合は、次のトピックを参照してください。

自動ドメイン検証の準備

ACM によって証明書を自動的に更新するには、以下の条件が満たされている必要があります。

  • 証明書は ACMと統合された AWS サービスに関連付けられている必要があります。ACM がサポートするリソースについては、「サービスと AWS Certificate Manager の統合」を参照してください。

  • ACM が証明書に記載されているドメイン名を検証できる必要があります。

E メールで検証済みの証明書の場合:

インターネットからの HTTPS リクエストを許可するように、ACM 証明書を持つ AWS リソースを設定します。HTTPS がリクエストする証明書のドメイン名が証明書を保持するリソースにルーティングされることを確認します。

DNS で検証済みの証明書の場合:

DNS 設定に適切な CNAME レコードが含まれていることを確認します。

マネージド型の証明書更新のエラーを処理する

証明書の有効期限が 60 日を経過すると、ACM によって、1 時間ごとに自動的に更新が行われます。15 日後に証明書を更新できない場合は、ACM より、更新の問題を手動で修正する方法に関する手順が記載された E メールが送信されます。このプロセスは、証明書が最初に検証された方法によって異なります。

E メールで検証済みの証明書のマネージド型の証明書更新

E メールで検証済みの証明書では、825 日ごとにドメイン検証が必要です。更新を続行するには、ACM より、PENDING_VALIDATION 状態で残っているドメイン名ごとに E メールが送信されます。ドメイン所有者、またはドメイン所有者から承認された担当者は、検証に失敗した各ドメイン名を検証するためのアクションを行う必要があります。PENDING_VALIDATION 状態のドメインを特定し、そのようなドメインの検証プロセスをクエリ返す方法の手順については、「E メールによる検証 」を参照してください。

DNS で検証済みの証明書のマネージド型の証明書更新

ACM は、DNS で検証された証明書の TLS 検証を試みません。ACM で、DNS 検証で検証した証明書の更新に失敗した場合は、DNS 設定の CNAME レコードが欠落しているか、内容が不正確であることが考えられます。失敗した場合は、ACM より、証明書が自動的に更新されない旨の通知が送信されます。正しい CNAME レコードを DNS データベースに挿入する必要があります。ドメインの CNAME レコードを検索するには、証明書とそのドメインエントリを ACM コンソールで展開します。詳細については、以下の図を参照してください。また、ACM API の DescribeCertificate オペレーション、または ACM CLI の describe-certificate コマンドを使用して、CNAME レコードを取得することもできます。詳細については、「DNS を使用したドメインの所有権の検証」を参照してください。


            コンソールからターゲット証明書を選択します。

コンソールからターゲット証明書を選択します。


            証明書ウィンドウを展開して、証明書の CNAME 情報を検索します。

証明書ウィンドウを展開して、証明書の CNAME 情報を検索します。

問題が解決しない場合は、AWS サポートセンターまでお問い合わせください。

更新のタイミングについて

ACM の Amazon が発行する証明書のマネージド型更新 は非同期プロセスです。これは、ステップがすぐに連続して発生しないことを意味します。ACM 証明書のすべてのドメイン名が検証されてから、ACM が新しい証明書を取得するまでに時間がかかることがあります。ACM が更新された証明書を取得した時間からその証明書が使用される AWS リソースにデプロイされる時間まで、さらなる遅延が生じる場合もあります。これによって、証明書ステータスの変更がコンソールに表示されるまでに数時間ほどかかる場合があります。