Eメール検証にしていて、更新メールに気付かず失効した事がありますした。
当然ですが、使っているサイトでは、証明書エラーがブラウザに表示されてしまいます。
DNS検証の場合は、更新のタイミングで、CNAMEレコードをチェックして、自動更新されます。
証明書作成
ELB(ALB)は使用するリージョンで、CloudFrontはバージニア北部に作成する必要があります。
AWS -> サービス -> Certificate Manager -> アジアパシフィック(東京) or 米国東部(バージニア北部) -> 証明書のプロビジョニング[今すぐ始める]
東京: https://ap-northeast-1.console.aws.amazon.com/acm/home?region=ap-northeast-1#/privatewizard/
バージニア北部: https://console.aws.amazon.com/acm/home?region=us-east-1#/privatewizard/
証明書のリクエスト
●パブリック証明書のリクエスト ※デフォルト [証明書のリクエスト]
ドメイン名の追加
使用するドメイン名を入れます。ワイルドカードにしておくと後々、便利です。
ちなみに、[*.nightonly.com]とした場合、[nightonly.com]は含まれないので、明示的に設定。
また、ワイルドカード証明書の仕様上、ドットは含まれないので、[sub1.sub2.nightonly.com]というのは対象になりません。
[*.sub2.nightonly.com]を追加する必要があります。
ドメイン名 *.nightonly.com ※例です。使用するドメイン名を入力 [この証明書に別の名前を追加] nightonly.com ※複数使用する場合は追加 [次へ]
検証方法の選択
Eメール検証にすると、証明書の更新時に認証メールが飛んできますが、期限までに承認しないと自動更新されません。
メールタイトル: Action Required - Your certificate renewal
DNS検証の場合は、このあと設定するCNAMEのレコードが存在すれば自動更新されます。
●DNSの検証 ※デフォルト [次へ]
タグを追加
[確認]
確認
[確定とリクエスト]
DNSレコード追加
同じAWSアカウントのRoute53にDNSを立てている場合は、リンクのクリックだけで追加されます。
別のアカウントや別にDNSサーバーを使っている場合は、下記のレコードを追加します。
[続行]
確認
状況が「検証保留中」から「発行済み」になるまで待ちます。
長いと数分ぐらい掛かります。自動更新ではなさそうなので、更新ボタンを押す。
反映されない場合は、nslookupで確認
$ nslookup _xxxxx.nightonly.com _ xxxxx.nightonly.com canonical name = _xxxxx.zdxcnfdgtt.acm-validations.aws.
