翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Certificate Managerでのパブリック証明書のリクエスト
AWS Certificate Manager パブリック証明書は、ACM コンソール AWS CLI、または API からリクエストできます。これらの証明書は、統合して使用すること AWS のサービス も、外部で使用するためにエクスポートすることもできます AWS クラウド。
次のリストでは、パブリック証明書とエクスポート可能なパブリック証明書の違いについて説明します。
- パブリック証明書
-
Elastic Load Balancing、Amazon CloudFront、Amazon API Gateway AWS のサービス などの統合 で ACM パブリック証明書を使用します。詳細については、「サービスと ACM の統合」を参照してください。
注記
2025 年 6 月 17 日より前に作成された ACM パブリック証明書はエクスポートできません。
- エクスポート可能なパブリック証明書
-
エクスポート可能なパブリック証明書は と統合 AWS のサービス されており、外部でも使用できます AWS クラウド。詳細については、「AWS Certificate Manager エクスポート可能なパブリック証明書」および「サービスと ACM の統合」を参照してください。新しい ACM パブリック証明書を作成し、エクスポート可能な を有効にしてパブリック証明書をエクスポートできるようにする必要があります。
以下のセクションでは、パブリック ACM 証明書をリクエスト、エクスポート、および取り消す方法について説明します。
トピック
コンソールを使用してパブリック証明書をリクエストする
ACM パブリック証明書をリクエストするには (コンソール)
-
AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/acm/home
で ACM コンソールを開きます。 [証明書のリクエスト] を選択します。
-
[Domain names] (ドメイン名) セクションで、ドメイン名を入力します。
www.example.comのような完全修飾ドメイン名 (FQDN) やexample.comのようなネイキッドドメインあるいは apex ドメイン名を使用できます。また、同じドメインで複数のサイト名を保護するために、最左位置にアスタリスク (*) をワイルドカードとして使用できます。たとえば、*.example.comは、corp.example.comとimages.example.comを保護します。ワイルドカード名は、ACM 証明書のサブジェクトフィールドとサブジェクト代替名拡張子に表示されます。ワイルドカード証明書をリクエストする場合、アスタリスク (
*) はドメイン名の左側に付ける必要があり、1 つのサブドメインレベルのみを保護できます。たとえば、*.example.comはlogin.example.comおよびtest.example.comを保護できますが、test.login.example.comを保護することはできません。また、*.example.comは、example.comのサブドメインのみを保護し、ネイキッドドメインまたは apex ドメイン (example.com) は保護しないことに注意してください。両方を保護するには、次のステップを参照してください。注記
RFC 5280
に準拠している場合、この手順で入力するドメイン名 (技術的には Common Name) の長さは、ピリオドを含む 64 オクテット (文字) を超えることはできません。ただし、後続の各サブジェクト代替名 (SAN) は、次の手順で、長さが最大 253 オクテットまで指定できます。 -
別の名前を追加するには、[この証明書に別の名前を追加] を選択し、テキストボックスに名前を入力します。これは、ネイキッドドメインまたは apex ドメイン (
example.comなど) の両方とそのサブドメイン (*.example.comなど) を保護するために役立ちます。
-
-
ACM エクスポート可能なパブリック証明書を作成する場合は、エクスポートを有効にするオプションを選択します。証明書のプライベートキーにアクセスして、外部で使用できます AWS クラウド。詳細については、「AWS Certificate Manager エクスポート可能なパブリック証明書」を参照してください。
-
[Validation method] (検証方法) セクションで、必要に応じて [DNS validation – recommended] (DNS 検証 - 推奨) または [Email validation] (Email 検証) を選択します。
注記
DNS 設定を編集できる場合は、E メール検証ではなく DNS ドメイン検証を使用することをお勧めします。DNS 検証には E メール検証と比べていくつかの利点があります。「AWS Certificate Manager DNS 検証」を参照してください。
ACM は証明書を発行する前に、証明書リクエストのドメイン名の所有者または管理者を検証します。E メール検証または DNS 検証のいずれかを使用できます。
-
E メール検証を選択すると、ACM はドメイン名フィールドで指定したドメインに検証 E メールを送信します。検証ドメインを指定すると、ACM はその検証ドメインに E メールを送信します。E メール検証の詳細については、「AWS Certificate Manager E メール検証」を参照してください。
-
DNS 検証を使用する場合は、ACM から提供される CNAME レコードを DNS 設定に追加するだけです。DNS 検証の詳細については、「AWS Certificate Manager DNS 検証」を参照してください。
-
-
キーアルゴリズムセクションで、アルゴリズムを選択します。
-
[Tags] (タグ) ページで、オプションで証明書にタグを付けることができます。タグは、 AWS リソースを識別して整理するためのメタデータとして機能するキーと値のペアです。ACM タグパラメータのリスト、および証明書作成後にタグを追加する方法については、「AWS Certificate Manager リソースのタグ付け」を参照してください。
タグの追加が完了したら、[Request] (リクエスト) を選択します。
-
リクエストが処理されると、コンソールは証明書リストに戻り、リストには新しい証明書の情報が表示されます。
トラブルシューティングのトピック「証明書のリクエストの失敗」に記載されているいずれかの理由で失敗しない限り、リクエストされると証明書のステータスが [Pending validation] (検証保留中) になります。ACM が証明書の検証を 72 時間繰り返し、タイムアウトします。証明書のステータスが [Failed] (失敗) または [Validation timed out] (検証タイムアウト) の場合、リクエストを削除し、「DNS での検証」または「E メール検証」で問題を修正してから、再度お試しください。検証が成功すると、証明書のステータスは [Issued] (発行済み) になります。
注記
リストの配列方法によっては、探している証明書がすぐには表示されない場合があります。右側の黒い三角形をクリックすると、配列を変更できます。また、右上のページ番号を使用して、証明書の複数のページを検索することもできます。
CLI を使用してパブリック証明書をリクエストする
request-certificate コマンドを使用して、コマンドラインに新しいパブリック ACM 証明書をリクエストします。検証方法のオプション値は DNS と EMAIL です。キーアルゴリズムのオプション値は、RSA_2048 (パラメータが明示的に指定されていない場合のデフォルト)、EC_prime256v1、および EC_secp384r1 です。
aws acm request-certificate \ --domain-name www.example.com \ --key-algorithm EC_Prime256v1 \ --validation-method DNS \ --idempotency-token 1234 \ --options CertificateTransparencyLoggingPreference=DISABLED,Export=ENABLED
このコマンドは、新しいパブリック証明書の Amazon リソースネーム (ARN) を出力します。
{
"CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
} 