AWS ACMのDNS検証について
AWS ACMにはパブリックドメインの証明書を発行する際、DNS検証という仕組みがある。
DNS検証の仕組みを用いると証明書の更新が自動的に行われるため運用が楽になる。
※証明書の有効期限はどんどん短くなって現状は397日=約13ヶ月。
CNAMEレコードを登録する場合は以下の2パターン。
①Route53にてドメイン管理を使用している場合→Route53のホストゾーンに登録。
②外部のレジストラでドメイン管理している場合→ドメインレジストラ(お名前.comとか)の管理のページでCNAMEレコードを登録。
CNAMEレコードを登録するときに気になったこと
例えば*.hogehoge.comというパブリックドメインがあるとして、
上の名前ですでにDNS検証が行われていた場合、同じドメインで新たに発行したCNAMEレコードを追加しても
問題ないのか気になったのでサポートに問い合わせてみた。
Aアカウント .hogehoge.com DNS検証済み。
Bアカウント .hogehoge.com DNS検証(新規)。
サポートの回答によると「アカウント毎に新しいレコードが発行されるため問題ない」とのこと。
CNAMEは新規追加になるので既存のレコードが変わるわけではないので大丈夫!
よくよく調べてみると以下のページに記載があった。
そもそもアカウントやリージョンをまたいで同じ証明書は使えない。
なのでアカウントやリージョンをまたいで同じドメインで証明書を発行したい場合は都度、
以下の①~③を実施する必要がある。
①発行したいアカウント+リージョンを選択。
②ACM上で対象ドメインの証明書をリクエスト。
③DNS検証のCNAMEレコードをRoute53のホストゾーンまたはレジストラに登録。
https://aws.amazon.com/jp/premiumsupport/knowledge-center/acm-export-certificate/