AWS Certificate Manager HTTP 検証 - AWS Certificate Manager
ACM の HTTP リダイレクトの仕組みHTTP 検証の設定

AWS Certificate Manager HTTP 検証

ハイパーテキスト転送プロトコル (HTTP) は、World Wide Web 上のデータ通信の基本プロトコルです。CloudFront で使用される証明書の HTTP 検証を選択すると、ACM はこのプロトコルを活用してドメインの所有権を検証します。ACM は CloudFront と連携して、特定の URL と、ドメイン上のその URL でアクセスできるようにする必要がある一意のトークンを提供します。このトークンは、ドメインを制御する証拠として機能します。ドメインから CloudFront インフラストラクチャ内の ACM 制御のロケーションへのリダイレクトを設定することで、ドメインのコンテンツを変更し、所有権を検証する能力を示します。ACM と CloudFront のシームレスな統合により、特に CloudFront ディストリビューションの証明書発行プロセスが簡素化されます。

重要

HTTP 検証は、ワイルドカードドメイン証明書 (*.example.com など) をサポートしていません。ワイルドカード証明書の場合は、代わりに DNS 検証または E メール検証を使用する必要があります。

例えば、CloudFront を使用して追加名として www.example.com を持つ example.com ドメインの証明書をリクエストすると、ACM は HTTP 検証用の 2 セットの URLs を提供します。各セットには、ドメインと AWS アカウント専用に作成された redirectFrom URL と redirectTo URL が含まれています。redirectFrom URL は、設定する必要があるドメイン (http://example.com/.well-known/pki-validation/example.txt など) のパスです。redirectTo URL は、一意の検証トークンが保存されている CloudFront インフラストラクチャ内の ACM 制御のロケーションを指します。これらのリダイレクトは 1 回だけ設定する必要があります。認証機関がドメインの所有権を検証しようとすると、CloudFront が redirectFrom URL にリダイレクトする redirectTo URL からファイルをリクエストし、検証トークンへのアクセスを許可します。証明書が CloudFront で使用されており、リダイレクトが維持されている限り、ACM は証明書を自動的に更新します。

CloudFront で完全修飾ドメイン名 (FQDN) の HTTP 検証を設定したら、HTTP リダイレクトが設定されている限り、検証プロセスを繰り返すことなく、その FQDN の追加の ACM 証明書をリクエストできます。つまり、同じドメイン名を持つ置換証明書、または異なるサブドメインを対象とする証明書を作成できます。HTTP 検証トークンは CloudFront が利用可能などの AWS リージョンでも機能するため、複数のリージョンで同じ証明書を再作成できます。リダイレクトがまだアクティブであれば、検証プロセスを再度実行せずに、削除された証明書を置き換えることもできます。

HTTP 検証済みの証明書の自動更新を停止するには、2 つのオプションがあります。証明書は、関連付けられている CloudFront ディストリビューションから削除するか、検証用に設定した HTTP リダイレクトを削除できます。CloudFront 以外のコンテンツ配信ネットワーク (CDN) またはウェブサーバーを使用してリダイレクトを管理している場合は、そのドキュメントを参照してリダイレクトを削除する方法を確認してください。CloudFront を使用してリダイレクトを管理している場合は、ディストリビューションの設定を更新することでリダイレクトを削除できます。証明書のマネージド型更新の詳細については、AWS Certificate Manager のマネージド証明書の更新 を参照してください。自動更新を停止すると証明書の有効期限が切れ、HTTPS トラフィックが中断される可能性があることにご注意ください。

ACM の HTTP リダイレクトの仕組み

注記

このセクションは、コンテンツ配信に CloudFront を使用し、SSL/TLS 証明書管理に ACM を使用しているお客様を対象としています。

ACM と CloudFront で HTTP 検証を使用する場合は、HTTP リダイレクトを設定する必要があります。これらのリダイレクトにより、ACM は最初の証明書発行と継続的な自動更新のためにドメインの所有権を検証できます。リダイレクトメカニズムは、ドメイン上の特定の URL を、一意の検証トークンが保存されている CloudFront インフラストラクチャ内の ACM 制御のロケーションを指すことによって機能します。

次の表は、ドメイン名のリダイレクト設定の例を示しています。HTTP 検証はワイルドカードドメイン (*.example.com など) をサポートしていないことにご注意してください。各設定の Redirect From-Redirect To ペアは、ドメイン名の所有権を認証する役割を果たします。

HTTP リダイレクト設定の例
ドメイン名 からリダイレクト Redirect To コメント
example.com

http://example.com/.well-known/pki-validation/x2.txt

https://validation.region.acm-validations.aws/y2/.well-known/pki-validation/x2.txt

Unique
www.example.com

http://www.example.com/.well-known/pki-validation/x3.txt

https://validation.region.acm-validations.aws/y3/.well-known/pki-validation/x3.txt

Unique
host.example.com

http://host.example.com/.well-known/pki-validation/x4.txt

https://validation.region.acm-validations.aws/y4/.well-known/pki-validation/x4.txt

Unique
subdomain.example.com

http://subdomain.example.com/.well-known/pki-validation/x5.txt

https://validation.region.acm-validations.aws/y5/.well-known/pki-validation/x5.txt

Unique
host.subdomain.example.com

http://host.subdomain.example.com/.well-known/pki-validation/x6.txt

https://validation.region.acm-validations.aws/y6/.well-known/pki-validation/x6.txt

Unique

ファイル名の xN 値と ACM 制御ドメインの yN 値は、ACM によって生成される一意の識別子です。例えば、

http://example.com/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt

は生成されたRedirect From URL の代表例です。関連する Redirect To URL は

https://validation.region.acm-validations.aws/98d2646601fa/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt

同じ検証レコードである可能性があります。

注記

ウェブサーバーまたはコンテンツ配信ネットワークが指定されたパスでのリダイレクトの設定をサポートしていない場合は、HTTP 検証問題のトラブルシューティング を参照してください。

証明書をリクエストし、HTTP 検証を指定すると、ACM は次の形式でリダイレクト情報を提供します。

ドメイン名 Redirect From Redirect To
example.com http://example.com/.well-known/pki-validation/a79865eb4cd1a6ab990a45779b4e0b96.txt https://validation.region.acm-validations.aws/a424c7224e9b/.well-known/pki-validation/a79865eb4cd1a6ab990a45779b4e0b96.txt

ドメイン名は、証明書に関連付けられた FQDN です。Redirect From は、ACM が検証ファイルを検索するドメイン上の URL です。Redirect To は、実際の検証ファイルがホストされている ACM 制御の URL です。

Redirect From URL から Redirect To URL にリクエストをリダイレクトするようにウェブサーバーまたは CloudFront ディストリビューションを設定する必要があります。このリダイレクトをセットアップする正確な方法は、ウェブサーバーソフトウェアまたは CloudFront 設定によって異なります。ACM がドメインの所有権を検証し、証明書を発行または更新できるように、リダイレクトが正しく設定されていることを確認します。

HTTP 検証の設定

ACM は、CloudFront で使用するパブリック SSL/TLS 証明書を発行するときに、HTTP 検証を使用してドメインの所有権を検証します。このセクションでは、HTTP 検証を使用するためにパブリック証明書を設定する方法について説明します。

コンソールで HTTP 検証を設定するには
注記

この手順では、CloudFront を通じてすでに証明書をリクエストしており、証明書を作成した AWS リージョンで作業していることを仮定しています。HTTP 検証は、CloudFront Distribution Tenants 機能を通じてのみ使用できます。

  1. ACM コンソール (https://console.aws.amazon.com/acm/) を開きます。

  2. 証明書のリストで、証明書の設定を行う [Pending validation] (検証保留中) ステータスが付いた証明書の [Certificate ID] (証明書 ID) を選択します。このように、証明書の詳細ページを開きます。

  3. ドメインセクションには、証明書リクエストの各ドメインのRedirect FromRedirect Toの値が表示されます。

  4. ドメインごとに、Redirect From URL からRedirect To URL への HTTP リダイレクトを設定します。これを行うには、CloudFront ディストリビューション設定を使用します。

  5. Redirect From URL から Redirect To URL にリクエストをリダイレクトするように CloudFront ディストリビューションを設定します。このリダイレクトを設定する方法は、CloudFront 設定によって異なります。

  6. リダイレクトを設定すると、ACM は自動的にドメインの所有権の検証を試みます。このプロセスには最長 30 分かかることがあります。

ACM がリダイレクト値を生成してから 72 時間以内にドメイン名を検証できない場合、ACM では証明書のステータスが [Validation timed out] に変更されます。この結果の最も可能性の高い理由は、HTTP リダイレクトが正常に設定されなかったことです。この問題を解決するには、リダイレクトの手順を確認した後、新しい証明書をリクエストする必要があります。

重要

検証の問題を回避するには、Redirect From のロケーションのコンテンツが Redirect To のロケーションのコンテンツと一致することを確認してください。問題が発生した場合は、HTTP 検証に関する問題のトラブルシューティング を参照してください。

注記

DNS 検証とは異なり、ACM が HTTP リダイレクトを自動的に作成するようにプログラムでリクエストすることはできません。これらのリダイレクトは、CloudFront ディストリビューション設定を通じて設定する必要があります。

HTTP 検証の仕組みの詳細については、ACM の HTTP リダイレクトの仕組み を参照してください。