マネージド証明書の更新のトラブルシューティング - AWS Certificate Manager

マネージド証明書の更新のトラブルシューティング

ACM は、ACM 証明書の有効期限が切れる前に自動的に更新を試み、ユーザーによるアクションを不要にします。ACM 証明書のマネージド更新 で問題が発生した場合は、次のトピックを参照してください。

自動ドメイン検証の準備

ACM によって証明書を自動的に更新するには、以下の条件が満たされている必要があります。

  • 証明書は ACM と統合された AWS サービスに関連付けられている必要があります。ACM がサポートするリソースについては、「AWS Certificate Manager と統合されたサービス」を参照してください。

  • ACM が証明書に記載されているドメイン名を検証できる必要があります。

E メールで検証済みの証明書の場合:

ACM 証明書を保有する AWS リソースを、インターネットからの HTTPS リクエストを許可するように設定します。HTTPS がリクエストする証明書のドメイン名が証明書を保持するリソースにルーティングされることを確認します。

DNS で検証済みの証明書の場合:

DNS 設定に適切な CNAME レコードが含まれていることを確認します。

マネージド証明書更新のエラーを処理する

証明書の有効期限切れから 60 日経過すると、ACM によって、1 時間ごとに自動的に更新が行われます。15 日後に証明書を更新できない場合は、ACM より、更新の問題を手動で修正する方法に関する手順が記載された E メールが送信されます。このプロセスは、証明書が最初に検証された方法によって異なります。

E メール検証済みの証明書のマネージド証明書更新

ACM 証明書の有効期間は 13 か月 (395 日) です。E メール検証された証明書を更新するには、ドメイン所有者によるアクションが必要です。ACM は、ドメインの WHOIS メールボックスアドレスと 5 つの共通の管理者アドレスを使用して、有効期限切れの 45 日前に更新通知の送信を開始します。通知には、ドメイン所有者が簡単に更新するためにクリックできるリンクが含まれています。リストされているすべてのドメインが検証されると、ACM は同じ ARN で更新された証明書を発行します。

どのドメインが PENDING_VALIDATION 状態にあり、それらのドメインの検証プロセスを繰り返しているかを特定する手順については「E メールによる検証」を参照してください。

DNS で検証済みの証明書のマネージド型の証明書更新

ACM は、DNS 検証済みの証明書の TLS 検証を試みません。ACM で、DNS 検証で検証した証明書の更新に失敗した場合は、DNS 設定の CNAME レコードが欠落しているか、内容が不正確であることが考えられます。失敗した場合は、ACM より、証明書が自動的に更新されない旨の通知が送信されます。

重要

正しい CNAME レコードを DNS データベースに挿入する必要があります。これを行う方法については、ドメインレジストラにお問い合わせください。

ドメインの CNAME レコードを検索するには、証明書とそのドメインエントリを ACM コンソールで展開します。詳細については、以下の図を参照してください。また、ACM API の DescribeCertificate オペレーションまたはACM CLIの describe-certificate コマンドを使用して、CNAME レコードを取得することができます。詳細については、「DNS での検証」を参照してください。


            コンソールからターゲット証明書を選択します。

コンソールからターゲット証明書を選択します。


            証明書ウィンドウを展開して、証明書の CNAME 情報を検索します。

証明書ウィンドウを展開して、証明書の CNAME 情報を検索します。

問題が解決しない場合は、AWS サポートセンターまでお問い合わせください。

更新のタイミングについて

ACM 証明書のマネージド更新 は非同期プロセスです。これは、ステップがすぐに連続して発生しないことを意味します。ACM 証明書のすべてのドメイン名が検証されてから、ACM が新しい証明書を取得するまでに時間がかかることがあります。ACM が更新された証明書を取得した時間からその証明書が使用される AWS リソースにデプロイされる時間まで、さらなる遅延が生じる場合もあります。これによって、証明書ステータスの変更がコンソールに表示されるまでに数時間ほどかかる場合があります。