翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Certificate Manager E メール検証
<a name="email-validation"></a>

Amazon 認証局 (CA) がサイトの証明書を発行する前に、 AWS Certificate Manager (ACM) は、ユーザーがリクエストで指定したすべてのドメインの所有者または管理者であることを確認する必要があります。E メールまたは DNS のいずれかを使用して検証を実行できます。このトピックでは、E メール検証について説明します。

E メール検証を使用して問題が発生した場合は、[E メール検証の問題のトラブルシューティング](troubleshooting-email-validation.md) を参照してください。

## E メール検証の仕組み
<a name="how-email-validation-works"></a>

ACM は、ドメインごとに次の 5 つの一般的なシステム E メールに検証 E メールメッセージを送信します。これらの E メールをスーパードメインで受信する場合は、そのスーパードメインを検証ドメインとして指定することもできます。ベースとなるウェブサイトアドレスまでの任意のサブドメインは有効であり、`@` の後に追加されて E メールアドレスのドメインとして使用されます。たとえば、subdomain.example.com の検証ドメインとして example.com を指定すると、admin@example.com に E メールが届きます。
+ administrator@your\$1domain\$1name
+ hostmaster@your\$1domain\$1name
+ postmaster@your\$1domain\$1name
+ webmaster@your\$1domain\$1name
+ admin@your\$1domain\$1name

ドメインを所有していることを証明するには、これらの E メールに含まれている検証リンクを選択する必要があります。ACM は、証明書の有効期限の 45 日前に、証明書を更新するために、これらの同じアドレスに検証 E メールを送信します。

ACM API または CLI を使用したマルチドメイン証明書リクエストの E メール検証では、リクエストに他のドメインのサブドメインが含まれていても、リクエストした各ドメインごとに E メールメッセージが送信されます。ドメイン所有者は、ACM が証明書を発行する前に、これらの各ドメインの E メールメッセージを検証する必要があります。

**このプロセスの例外**  
**www** またはワイルドカードアスタリスク (**\$1**) で始まるドメイン名に対して ACM 証明書をリクエストする場合、ACM は、先頭の **www** またはアスタリスクを削除し、管理アドレスに E メールを送信します。これらのアドレスはドメイン名の残りの部分に admin@、administrator@、hostmaster@、postmaster@、および webmaster@ を前置することによって形成されます。例えば、www.example.com に ACM 証明書をリクエストする場合、admin@www.example.com の代わりに admin@example.com に E メールが送信されます。同じように、\$1.test.example.com に ACM 証明書をリクエストする場合、admin@test.example.com に E メールが送信されます。残りの一般的な管理者アドレスも、同様に形成されます。

**重要**  
ACM は、新しい証明書または更新の WHOIS E メール検証をサポートしなくなりました。一般的なシステムアドレスは引き続きサポートされます。詳細については、[ブログ記事](https://aws.amazon.com/blogs/security/aws-certificate-manager-will-discontinue-whois-lookup-for-email-validated-certificates/) を参照してください。

## 考慮事項
<a name="certificate-considerations"></a>

E メール検証については、次の考慮事項に従ってください。
+ E メール検証を使用するには、ドメインに登録されている作業用 E メールアドレスが必要です。E メールアドレスの設定手順は、このガイドの対象外です。
+ 検証は、ACM によって発行されたパブリックに信頼できる証明書にのみ適用されます。ACM は、[インポートされた証明書](import-certificate.md)の、またはプライベート CA によって署名された証明書のドメインの所有権を検証しません。ACM は Amazon VPC [プライベートホストゾーン](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones)または他のプライベートドメインのリソースを検証できません。詳しくは、[証明書の検証のトラブルシューティング](certificate-validation.md) を参照してください。
+ E メール検証を使用して証明書を作成した後は、DNS による検証に切り替えることはできません。DNS 検証を使用するには、証明書を削除し、DNS 検証を使用する新しい証明書を作成します。

## 証明書の有効期限切れと更新
<a name="renewal"></a>

ACM 証明書は 198 日間有効です。証明書を更新するには、ドメイン所有者によるアクションが必要です。ACM は、有効期限切れの 45 日前にドメインに関連付けられた E メールアドレスに更新通知の送信を開始します。通知には、ドメイン所有者が更新するためにクリックできるリンクが含まれています。リストされているすべてのドメインが検証されると、ACM は同じ ARN で更新された証明書を発行します。

## (オプション) 検証 E メールの再送信
<a name="gs-acm-resend"></a>

各検証 E メールには、証明書リクエストの承認に使用できるトークンが含まれています。ただし、承認プロセスに必要な検証 E メールがスパムフィルターによってブロックされたり、転送中に紛失した場合、トークンは 72 時間後に自動的に有効期限切れになります。元の E メールを受信しなかった場合、またはトークンの期限が切れた場合は、E メールの再送信をリクエストできます。検証 E メールを再送信する方法については、「[検証 E メールを再送信する](email-renewal-validation.md#request-domain-validation-email-for-renewal)」を参照してください 

E メール検証に関する永続的な問題については、[に関する問題のトラブルシューティング AWS Certificate Manager](troubleshooting.md) の [E メール検証の問題のトラブルシューティング](troubleshooting-email-validation.md) セクションを参照してください。

# E AWS Certificate Manager メール検証を自動化する
<a name="email-automation"></a>

E メール検証された ACM 証明書には、通常、ドメイン所有者による手動による操作が必要です。大量の E メール検証された証明書を扱う組織は、必要なレスポンスを自動化できるパーサーを作成することを優先する場合があります。E メール検証を使用するユーザーを支援するために、このセクションの情報は、ドメイン検証 E メールメッセージに使用されるテンプレートと、検証プロセスの完了に関連するワークフローについて説明します。

## 検証 E メールテンプレート
<a name="validation-email-template"></a>

検証 E メールメッセージは、新しい証明書が要求されるか、既存の証明書が更新されるかに応じて、次の 2 つのいずれかの形式になります。強調表示された文字列の内容は、検証対象のドメインに固有の値に置き換える必要があります。

### 新しい証明書を検証する
<a name="new-template"></a>

E メールテンプレートのテキスト:

```
Greetings from Amazon Web Services,

We received a request to issue an SSL/TLS certificate for requested_domain.

Verify that the following domain, AWS account ID, and certificate identifier correspond 
to a request from you or someone in your organization.

Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier

To approve this request, go to Amazon Certificate Approvals 
(https://region_name.acm-certificates.amazon.com/approvals?code=validation_code&context=validation_context) 
and follow the instructions on the page.

This email is intended solely for authorized individuals for fqdn. To express any concerns
about this email or if this email has reached you in error, forward it along with a brief 
explanation of your concern to validation-questions@amazon.com.

Sincerely,
Amazon Web Services
```

### 更新のための証明書の検証
<a name="renewal-template"></a>

E メールテンプレートのテキスト:

```
Greetings from Amazon Web Services,

We received a request to issue an SSL/TLS certificate for requested_domain. 
This email is a request to validate ownership of the domain in order to renew
the existing, currently in use, certificate. Certificates have defined 
validity periods and email validated certificates, like this one, require you 
to re-validate for the certificate to renew.

Verify that the following domain, AWS account ID, and certificate identifier 
correspond to a request from you or someone in your organization.

Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier

To approve this request, go to Amazon Certificate Approvals at
https://region_name.acm-certificates.amazon.com/approvals?code=$validation_code&context=$validation_context
and follow the instructions on the page.

This email is intended solely for authorized individuals for fqdn. You can see
more about how AWS Certificate Manager validation works here - 
https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html.
To express any concerns about this email or if this email has reached you in 
error, forward it along with a brief explanation of your concern to 
validation-questions@amazon.com.

Sincerely,
Amazon Web Services

--
Amazon Web Services, Inc. is a subsidiary of Amazon.com, Inc. Amazon.com is a
registered trademark of Amazon.com, Inc.

This message produced and distributed by Amazon Web Services, Inc.,
410 Terry Ave. North, Seattle, WA 98109-5210.

(c)2015-2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Our privacy policy is posted at https://aws.amazon.com/privacy
```

から新しい検証メッセージを受け取ったら AWS、パーサーのup-to-date信頼できるテンプレートとして使用することをお勧めします。2020 年 11 月より前に設計されたメッセージパーサーを持っているユーザーは、テンプレートに対して行われた次の変更に注意する必要があります。
+ E メール件名は、「`Certificate request for domain name`」ではなく、「`"Certificate approval for domain name`」のようになります。
+ `AWS account ID` がダッシュやハイフンなしで表示されるようになりました。 
+ `Certificate Identifier` では、短縮形式の代わりに証明書 ARN 全体が表示されます。たとえば、`3b4d78e1-0882-4f51-954a-298ee44ff369` ではなく、`arn:aws:acm:us-east-1:000000000000:certificate/3b4d78e1-0882-4f51-954a-298ee44ff369` となります。
+ 証明書の承認 URL に、`certificates.amazon.com` ではなく、`acm-certificates.amazon.com` が含まれるようになりました。
+ 証明書の承認 URL をクリックして開いた承認フォームに、承認ボタンが含まれるようになりました。承認ボタン div の名前が、`approval_button` ではなく、`approve-button` となりました。
+ 新しくリクエストされた証明書と更新証明書の両方の検証メッセージは、同じ E メール形式です。

## 検証ワークフロー
<a name="validation-workflow"></a>

このセクションでは、E メール検証された証明書の更新ワークフローについて説明します。
+ ACM コンソールがマルチドメイン証明書リクエストを処理すると、パブリック証明書をリクエストするときに指定したドメイン名または検証ドメインに検証 E メールメッセージを送信します。ドメイン所有者は、ACM が証明書を発行する前に、各ドメインの E メールメッセージを検証する必要があります。詳細については、「[E メールを使用したドメインの所有権の検証](https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html)」を参照してください。
+ ACM API または CLI を使用したマルチドメイン証明書リクエストの E メール検証では、リクエストに他のドメインのサブドメインが含まれていても、リクエストした各ドメインごとに E メールメッセージが送信されます。ドメイン所有者は、ACM が証明書を発行する前に、これらの各ドメインの E メールメッセージを検証する必要があります。

  ACM コンソールを使用して既存の証明書の E メールを再送信すると、元の証明書リクエストで指定された検証ドメイン、または検証ドメインが指定されていない場合は対象のドメインに E メールが送信されます。別のドメインで検証 E メールを受信するには、検証に使用する検証ドメインを指定して、新しい証明書をリクエストできます。または、API、SDK、または CLI を使用して、`ValidationDomain` パラメータを使用して [ResendValidationEmail](https://docs.aws.amazon.com/acm/latest/APIReference/API_ResendValidationEmail.html) を呼び出すこともできます。ただし、`ResendValidationEmail` リクエストで指定された検証ドメインは、その呼び出しにのみ使用され、今後の検証 E メール用に証明書 Amazon リソースネーム (ARN) には保存されません。元の証明書リクエストで指定されていないドメイン名で検証 E メールを受信するたびに、`ResendValidationEmail` を呼び出す必要があります。
**注記**  
2020 年 11 月以前は、apex ドメインのみを検証する必要がありました。ACM は、サブドメインもカバーする証明書を発行していました。それ以前に設計されたメッセージパーサーを使用しているユーザーは、E メール検証ワークフローの変更に注意する必要があります。
+ ACM API または CLI を使用すると、マルチドメイン証明書リクエストに関するすべての検証 E メールメッセージを apex ドメインに送信できます。API では、[RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) アクションの `DomainValidationOptions` パラメータを使用して `ValidationDomain` の値を指定します。これは、[DomainValidationOption](https://docs.aws.amazon.com/acm/latest/APIReference/API_DomainValidationOption.html) タイプのメンバーです。CLI では、[request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) コマンドの **--domain-validation-options** パラメータを使用して、`ValidationDomain` の値を指定します。