翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Certificate Manager HTTP 検証
ハイパーテキスト転送プロトコル (HTTP) は、World Wide Web 上のデータ通信の基本プロトコルです。CloudFront で使用される証明書の HTTP 検証を選択すると、ACM はこのプロトコルを活用してドメインの所有権を検証します。ACM は CloudFront と連携して、特定の URL と、ドメイン上のその URL でアクセスできるようにする必要がある一意のトークンを提供します。このトークンは、ドメインを制御する証拠として機能します。ドメインから CloudFront インフラストラクチャ内の ACM 制御のロケーションへのリダイレクトを設定することで、ドメインのコンテンツを変更し、所有権を検証する能力を示します。ACM と CloudFront のシームレスな統合により、特に CloudFront ディストリビューションの証明書発行プロセスが簡素化されます。
**重要**
HTTP 検証は、ワイルドカードドメイン証明書 (\$1.example.com など) をサポートしていません。ワイルドカード証明書の場合は、代わりに DNS 検証または E メール検証を使用する必要があります。
例えば、CloudFront を使用して追加名として `www.example.com` を持つ `example.com` ドメインの証明書をリクエストすると、ACM は HTTP 検証用の 2 セットの URLs を提供します。各セットには、ドメインと AWS アカウント専用に作成された `redirectFrom` URL と `redirectTo` URL が含まれています。`redirectFrom` URL は、設定する必要があるドメイン (`http://example.com/.well-known/pki-validation/example.txt` など) のパスです。`redirectTo` URL は、一意の検証トークンが保存されている CloudFront インフラストラクチャ内の ACM 制御のロケーションを指します。これらのリダイレクトは 1 回だけ設定する必要があります。認証機関がドメインの所有権を検証しようとすると、CloudFront が `redirectFrom` URL にリダイレクトする `redirectTo` URL からファイルをリクエストし、検証トークンへのアクセスを許可します。証明書が CloudFront で使用されており、リダイレクトが維持されている限り、ACM は証明書を自動的に更新します。
CloudFront で完全修飾ドメイン名 (FQDN) の HTTP 検証を設定したら、HTTP リダイレクトが設定されている限り、検証プロセスを繰り返すことなく、その FQDN の追加の ACM 証明書をリクエストできます。つまり、同じドメイン名で代替証明書を作成できます。リダイレクトがまだアクティブであれば、検証プロセスを再度実行せずに、削除された証明書を置き換えることもできます。
HTTP 検証済みの証明書の自動更新を停止するには、2 つのオプションがあります。証明書は、関連付けられている CloudFront ディストリビューションから削除するか、検証用に設定した HTTP リダイレクトを削除できます。CloudFront 以外のコンテンツ配信ネットワーク (CDN) またはウェブサーバーを使用してリダイレクトを管理している場合は、そのドキュメントを参照してリダイレクトを削除する方法を確認してください。CloudFront を使用してリダイレクトを管理している場合は、ディストリビューションの設定を更新することでリダイレクトを削除できます。証明書のマネージド型更新の詳細については、[でのマネージド証明書の更新 AWS Certificate Manager](managed-renewal.md) を参照してください。自動更新を停止すると証明書の有効期限が切れ、HTTPS トラフィックが中断される可能性があることにご注意ください。
## ACM の HTTP リダイレクトの仕組み
**注記**
このセクションは、コンテンツ配信に CloudFront を使用し、SSL/TLS 証明書管理に ACM を使用しているお客様を対象としています。
ACM と CloudFront で HTTP 検証を使用する場合は、HTTP リダイレクトを設定する必要があります。これらのリダイレクトにより、ACM は最初の証明書発行と継続的な自動更新のためにドメインの所有権を検証できます。リダイレクトメカニズムは、ドメイン上の特定の URL を、一意の検証トークンが保存されている CloudFront インフラストラクチャ内の ACM 制御のロケーションを指すことによって機能します。
次の表は、ドメイン名のリダイレクト設定の例を示しています。HTTP 検証はワイルドカードドメイン (\$1.example.com など) をサポートしていないことにご注意してください。各設定の **Redirect From**-**Redirect To** ペアは、ドメイン名の所有権を認証する役割を果たします。
**HTTP リダイレクト設定の例**
| ドメイン名 | Redirect From | Redirect To | Comment |
| --- | --- | --- | --- |
| example.com | `http://example.com/.well-known/pki-validation/x2.txt` | `https://validation.region.acm-validations.aws/y2/.well-known/pki-validation/x2.txt` | Unique |
| www.example.com | `http://www.example.com/.well-known/pki-validation/x3.txt` | `https://validation.region.acm-validations.aws/y3/.well-known/pki-validation/x3.txt` | Unique |
| host.example.com | `http://host.example.com/.well-known/pki-validation/x4.txt` | `https://validation.region.acm-validations.aws/y4/.well-known/pki-validation/x4.txt` | Unique |
| subdomain.example.com | `http://subdomain.example.com/.well-known/pki-validation/x5.txt` | `https://validation.region.acm-validations.aws/y5/.well-known/pki-validation/x5.txt` | Unique |
| host.subdomain.example.com | `http://host.subdomain.example.com/.well-known/pki-validation/x6.txt` | `https://validation.region.acm-validations.aws/y6/.well-known/pki-validation/x6.txt` | Unique |
ファイル名の *xN* 値と ACM 制御ドメインの *yN* 値は、ACM によって生成される一意の識別子です。例えば、
```
http://example.com/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
```
は生成された**Redirect From** URL の代表例です。関連する **Redirect To** URL は
```
https://validation.region.acm-validations.aws/98d2646601fa/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
```
同じ検証レコードである可能性があります。
**注記**
ウェブサーバーまたはコンテンツ配信ネットワークが指定されたパスでのリダイレクトの設定をサポートしていない場合は、[HTTP 検証問題のトラブルシューティング](troubleshooting-HTTP-validation.md) を参照してください。
証明書をリクエストし、HTTP 検証を指定すると、ACM は次の形式でリダイレクト情報を提供します。
****
| ドメイン名 | Redirect From | Redirect To |
| --- | --- | --- |
| example.com | http://example.com/.well-known/pki-validation/a79865eb4cd1a6ab990a45779b4e0b96.txt | https://validation.region.acm-validations.aws/a424c7224e9b/.well-known/pki-validation/a79865eb4cd1a6ab990a45779b4e0b96.txt |
ドメイン名は、証明書に関連付けられた FQDN です。*Redirect From* は、ACM が検証ファイルを検索するドメイン上の URL です。*Redirect To* は、実際の検証ファイルがホストされている ACM 制御の URL です。
*Redirect From* URL から *Redirect To* URL にリクエストをリダイレクトするようにウェブサーバーまたは CloudFront ディストリビューションを設定する必要があります。このリダイレクトをセットアップする正確な方法は、ウェブサーバーソフトウェアまたは CloudFront 設定によって異なります。ACM がドメインの所有権を検証し、証明書を発行または更新できるように、リダイレクトが正しく設定されていることを確認します。
## HTTP 検証の設定
ACM は、CloudFront で使用するパブリック SSL/TLS 証明書を発行するときに、HTTP 検証を使用してドメインの所有権を検証します。このセクションでは、HTTP 検証を使用するためにパブリック証明書を設定する方法について説明します。
**コンソールで HTTP 検証を設定するには**
**注記**
この手順では、CloudFront を通じて証明書をリクエスト済みであり、それを作成した AWS リージョンで作業していることを前提としています。HTTP 検証は、CloudFront Distribution Tenants 機能を通じてのみ使用できます。
1. ACM コンソール ([https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/)) を開きます。
1. 証明書のリストで、証明書の設定を行う [**Pending validation**] (検証保留中) ステータスが付いた証明書の [**Certificate ID**] (証明書 ID) を選択します。このように、証明書の詳細ページを開きます。
1. **ドメイン**セクションには、証明書リクエストの各ドメインの**Redirect From**と**Redirect To**の値が表示されます。
1. ドメインごとに、**Redirect From** URL から**Redirect To** URL への HTTP リダイレクトを設定します。これを行うには、CloudFront ディストリビューション設定を使用します。
1. **Redirect From** URL から **Redirect To** URL にリクエストをリダイレクトするように CloudFront ディストリビューションを設定します。このリダイレクトを設定する方法は、CloudFront 設定によって異なります。
1. リダイレクトを設定すると、ACM は自動的にドメインの所有権の検証を試みます。このプロセスには最長 30 分かかることがあります。
ACM がリダイレクト値を生成してから 72 時間以内にドメイン名を検証できない場合、ACM では証明書のステータスが [**Validation timed out**] に変更されます。この結果の最も可能性の高い理由は、HTTP リダイレクトが正常に設定されなかったことです。この問題を解決するには、リダイレクトの手順を確認した後、新しい証明書をリクエストする必要があります。
**重要**
検証の問題を回避するには、**Redirect From **のロケーションのコンテンツが **Redirect To **のロケーションのコンテンツと一致することを確認してください。問題が発生した場合は、[HTTP 検証に関する問題のトラブルシューティング](troubleshooting-HTTP-validation.md) を参照してください。
**注記**
DNS 検証とは異なり、ACM が HTTP リダイレクトを自動的に作成するようにプログラムでリクエストすることはできません。これらのリダイレクトは、CloudFront ディストリビューション設定を通じて設定する必要があります。
HTTP 検証の仕組みの詳細については、[ACM の HTTP リダイレクトの仕組み](#http-redirects-overview) を参照してください。