ACMのSSL証明書期限が切れたので対応する

概要

• AWS Certificate Managerの期限が切れてサービスに影響がでた
• 自動更新のはずだったが
• 一度切れたSSL/TLS証明書を更新したい
• 更新ができなかった為新規作成で対応
• 自動更新の設定を入れる

詳細

• 以下のようなメールが届く
• すでに証明書が失効してしまったという内容
• 自動更新するにはDNS登録が必要とある
• ワイルドカードドメインには自動更新は対応してないらしい★
• 3日以内にメール再送信して認証しなければ証明書は失効して再作成が必要となるらしい

• ACMの画面に遷移
• 本来であれば対象証明書を選択し、アクションから検証Eメールの再送信を押し、Eメールのリンクからの認証で済む
• しかし検証Eメールの再送信ができない

• ACMの仕様なのだろうが調査している余裕もなくサービス復旧のため新規作成したほうが早いと判断
• 対象ドメインを展開し、Route53でのレコード作成を選択
• 失効した古い方の証明書はすぐに消さなくても新しい証明書は作成可能

• 検証保留中状態となる

• Route53のゾーン上には以下のように登録される

• しばらく経つと「検証保留中」から「発行済状態」となる
• 結構かかるので気長に待つ（10分以上かかった）

• ELBにSSL証明書を追加する
• 同じドメインの証明書が2つある状態
• 古い方はあとで削除
• 削除する場合は

1. ロードバランサのリスナーからデフォルトの証明書を新しい方の証明書に変更
2. ACMで古い方の証明書を削除

• これでサービスへアクセス可能となる
• 以上、証明書更新について緊急対応完了