みなさん、こんにちは。サニービュー事業部の小寺です。

AWS Certificate Manager(ACM)証明書の更新について、ワークフローが変更になったのでお知らせいたします。

■AWS Certificate Manager(ACM)証明書とは

AWS Certificate Manager は、AWS のサービスとお客様の内部接続リソースで使用するパブリックとプライベートの Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書のプロビジョニング、管理、デプロイができるマネージドサービスです。

ACMを使用すれば、SSL/TLS 証明書の購入、アップロード、更新という時間のかかるプロセスを手動で行う必要がなくなります。また、証明書のリクエストや、Elastic Load Balancing、 Amazon CloudFront ディストリビューション、Amazon API Gateway の API といった AWS のリソースでの証明書のデプロイを、すばやく簡単に行うことができます。証明書の更新は自動的に行われるので、手動更新は不要です。

ACMは無料で利用ができます。そのため、支払いが必要いなるのは、アプリケーションを実行するために作成した AWS リソースの料金のみです。

■今回のアップデート内容

Firefox ブラウザを支えている団体である、Mozillaによるポリシー変更により、ACM は、E メールで検証済みの証明書を自動的に更新することができなくなりました。

そのため、2021 年 8 月より、E メールで検証済みの証明書は、証明書の有効期限が残り 45 日になった時にメールで送信される検証リンクをクリックして、毎年更新する必要があります。

自動更新を継続する場合、DNS での検証に移行することがお勧めです。
DNS で検証済みの証明書は、CNAME レコードが適切に設定されている限り、自動的に更新されます。
ただ、今ご利用いただいている既存の証明書を E メール検証から DNS 検証に移行する方法はありません。
ACM 証明書の検証方法を切り替える場合は、使用したい検証方法を使用して、同じドメインに対して新しい証明書をリクエストする必要があります。新しい証明書が発行されたら、前の証明書で使用されたリソースにその証明書を関連付けます。

■新しい証明書のリクエスト方法

(1)ACM パブリック証明書をリクエストするには、 ACM コンソールを開きます。
https://console.aws.amazon.com/acm/home

(2)[証明書のプロビジョニング] を選択します。

(3)[証明書のリクエスト] ページで、[パブリック証明書のリクエスト] を選択し、[証明書のリクエスト] を選択して続行します。

(4) [ドメイン名の追加] ページで、ドメイン名を入力します。www.example.com のような完全修飾ドメイン名 (FQDN) や example.com のようなネイキッドドメインあるいは apex ドメイン名を使用できます。また、同じドメインで複数のサイト名を保護するために、最左位置にアスタリスク () をワイルドカードとして使用できます。たとえば、.example.com は、corp.example.com と images.example.com を保護することができます。

別の名前を追加するには、[この証明書に別の名前を追加] を選択し、テキストボックスに名前を入力します。これは、ネイキッドドメインまたは apex ドメイン (example.com など) の両方とそのサブドメイン (*.example.com など) を保護するために役立ちます。
(5)[検証方法の選択] ページで、必要に応じて [DNS の検証] または [E メールの検証] を選択します。
※DNS検証がお勧めです。

(6)[タグを追加]ページで、必要に応じて、タグを設定します。

(7)リクエストに関する正しい情報が [確認] ページに含まれている場合は、[確定とリクエスト] を選択します。確認ページには、リクエストが処理中で、証明書ドメインが検証中であることが示されます。検証を待機している証明書は、検証保留中状態にあります。

■DNS検証のメリット

DNS 検証には、特に、Amazon Route 53 がドメインの DNS プロバイダーである場合など、メール検証を上回るメリットがいくつかあります。

例えば、CNAME レコードが残っている状態であれば、証明書は ACM によって自動的に更新することができます。

毎回検証しなくても、CNAME レコードが残っていれば、完全修飾ドメイン名 (FQDN) に追加の ACM 証明書を要求できます。つまり、同じドメイン名を持つ置換証明書、または異なるサブドメインに対応する証明書を作成できます。CNAME検証トークンは、AWSリージョンでは、複数のリージョンで同じ証明書を再作成できます。削除された証明書を置き換えることもできます。

■Eメールで検証されているACMの確認方法は?

Eメールで検証されているACMの場合、AWSより件名「E メールで検証済みの AWS Certificate Manager(ACM)証明書の更新ワークフローの変更のお知らせ | Changes to AWS Certificate Manager (ACM) email validated certificate renewal workflow [AWS Account: XXXXXXXXXXXX]」でメール通知がされます。

■まとめ

いかがでしたでしょうか。Eメールアドレスで検証をしているACMについては、自動更新がされなくなるのは、要注意ですね。

SunnyCloudでは、AWSパートナーの夢テクノロジー様とAWS導入~移行~保守運用まで3回シリーズでWebinarを共催いたします。

新規導入や移行、運用コスト最適化の秘訣をお伝えしますので、ぜひお申込みください。
https://www.yume-tec.co.jp/column/idswebinar2107/