翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ACM パブリック証明書の更新

管理され、パブリックに信頼された証明書を発行する場合、AWS Certificate Manager では、ドメイン所有者であることを証明する必要があります。これは、DNS での検証またはE メールでの検証のどちらかの方法で行います。証明書が更新のために作成されると、ACM は以前に選択した方法と同じ方法で所有権を再検証します。以下のトピックでは、各ケースでの更新プロセスの仕組みについて説明します。

DNS によって検証されたドメインの更新

管理された更新は、最初に DNS 検証を使用して発行された ACM 証明書に対して完全に自動化されています。。

有効期限切れの60日前までに、ACM は次の更新基準をチェックします。

これらの条件が満たされると、ACM はドメイン名を検証済みと見なし、証明書を更新します。

ACM は、更新中にドメインを自動的に検証できない場合 (CAA レコードが存在する場合など) に AWS Health イベントと Amazon EventBridge イベントを送信します。これらのイベントは、有効期限切れの 45 日、30 日、15 日、7 日、3 日、1 日前に送信されます。詳しくは、の Amazon EventBridge サポート ACM を参照してください。

E メール検証済みドメインの更新

ACM 証明書の有効期間は 13 か月 (395 日) です。証明書を更新するには、ドメイン所有者によるアクションが必要です。ACM は、有効期限切れの 45 日前にドメインに関連付けられた E メールアドレスに更新通知の送信を開始します。通知には、ドメイン所有者が更新するためにクリックできるリンクが含まれています。リストされているすべてのドメインが検証されると、ACM は同じ ARN で更新された証明書を発行します。

検証 E メールメッセージの詳細については、「AWS Certificate Manager E メール検証」を参照してください。

検証 E メールにプログラムで応答する方法については、「AWS Certificate Manager E メール検証の自動化」を参照してください。

検証 E メールを再送信する

ドメインの E メール検証を設定すると (「AWS Certificate Manager E メール検証」を参照)、AWS Certificate Manager API を使用して、ACM に証明書更新のためのドメイン検証 E メールの送信をリクエストできます。このためには、次の条件が満たされる必要があります。

証明書リクエストで最初に設定したドメインとは異なるドメインに検証 E メールを送信するには、ACM API、AWS CLI、または AWS SDKで ResendValidationEmail オペレーションを使用できます。ACM は、指定された検証ドメインに E メールを送信します。ブラウザで AWS CLI にアクセスするには、サポートされているリージョンで AWS CloudShell を使用します。

ACM がドメイン検証 E メールを再送信するようにリクエストするには (ACM API)

ACM API で ResendValidationEmail オペレーションを使用します。これにより、証明書の ARN、手動による検証が必要となるドメイン、ドメイン検証 E メールを受信するドメインが渡されます。次の例では、AWS CLI を使用してこのオペレーションを行う方法を示します。この例では読みやすいように改行が含まれています。

$ aws acm resend-validation-email \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID \
	--domain subdomain.example.com \
	--validation-domain example.com