# SSL/TLS 証明書をローテーションする
<a name="cnames-and-https-rotate-certificates"></a>

SSL/TLS 証明書の有効期限が近づいたら、それをローテーションしてディストリビューションのセキュリティを確保し、ビューワーへのサービス中断を回避する必要があります。ローテーションは以下の方法で行うことができます。
+ AWS Certificate Manager (ACM) が提供する SSL/TLS 証明書の場合、ローテーションする必要はありません。証明書の更新は、ACM によって*自動的に*行われます。詳細については、「*AWS Certificate Manager ユーザーガイド*」の「[Managed certificate renewal](https://docs.aws.amazon.com/acm/latest/userguide/acm-renewal.html)」を参照してください。
+ サードパーティー認証機関を利用しており、証明書を ACM にインポートした場合 (推奨) または IAM 証明書ストアにアップロードした場合、証明書の交換が必要になることがあります。

  

**重要**  
ACM では、サードパーティー認証機関から入手して ACM にインポートした証明書の更新が管理されません。
専用 IP アドレスを使用して HTTPS リクエストを処理するよう CloudFront を設定した場合、証明書をローテーションしている間、追加の証明書に対して按分された追加料金がかかる可能性があります。ディストリビューションの更新を行って、追加料金を最低限にすることをお勧めします。

## SSL/TLS 証明書をローテーションする
<a name="rotate-ssl-tls-certificate"></a>

証明書をローテーションするには、以下の手順を実行します。ビューワーは、プロセスが完了した後だけでなく、証明書を更新している間もコンテンツにアクセスし続けることができます。<a name="rotate-ssl-tls-certificates-proc"></a>

**SSL/TLS 証明書をローテーションするには**

1. [SSL/TLS 証明書のクォータを引き上げる](increasing-the-limit-for-ssl-tls-certificates.md)、追加の SSL 証明書を使用するためにアクセス権限が必要かどうかを調べます。その場合、アクセス権限をリクエストし、ステップ 2 を続ける前にアクセス権限が付与されるまで待ってください。

1. 新しい証明書を ACM にインポートするか、IAM にアップロードします。詳細については、*Amazon CloudFront 開発者ガイド*の「[SSL/TLS 証明書をインポートする](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html#cnames-and-https-uploading-certificates)」を参照してください。

1. (IAM 証明書のみ) ディストリビューションを一度に 1 つずつ、新しい証明書を使用できるように更新します。詳細については、「[ディストリビューションを更新する](HowToUpdateDistribution.md)」を参照してください。

1. (オプション) ACM または IAM から以前の証明書を削除します。
**重要**  
すべてのディストリビューションから SSL/TLS 証明書を削除し、更新されたディストリビューションのステータスが [`Deployed`] に変わるまで、SSL/TLS 証明書を削除しないでください。