結論
下記の場合、プライベート証明書は自動更新の対象となります。
- 発行された証明書がACM統合サービスに関連付けられている
- プライベートCAがActive状態でありアクセス可能である
ACMプライベートCAをクロスアカウント共有してNLBに証明書を設定するの記事の構成で考えると、下記の観点から自動更新の対象となります。(RAMで共有が解除されると、プライベートCAにアクセスできなくなるため、自動更新は失敗します。)
- 証明書がNLBに関連付けられている
- ルートCAがRAMで共有されておりアクセス可能
更新できない場合
こちらのマニュアルに記載があります。各プライベート証明書の有効期間は13ヶ月(395日間)ですが、更新できない場合は、下記スケジュールにてAWS Healthにより通知されます。
プライベート証明書の場合は 60 日前に ACM 証明書の自動更新を試みます。ACM が証明書を自動更新できない場合は、有効期限の 45 日前(プライベート証明書のみ)、30 日前、15 日前、7 日前、3 日前、1 日前に、ヘルスダッシュボードに証明書更新イベント通知を送信し、必要なアクションを講じる必要があることをお知らせします。
証明書がACM統合サービスに関連付けられていない場合
こちらのマニュアルに記載の通り、手動での対応が必要です。手動での更新を検証してみます。下記のように2つの証明書があり、下が上記でNLBに関連付けられている証明書、上が関連付けられていない証明書です。関連付けられていないものは「更新の適格性」が「対象外」となっています。
証明書エクスポート前の状態では下記のように更新ができません。
証明書をエクスポート後、下記「更新」ボタンをクリックするか、以下のコマンドで更新ができます。
aws acm renew-certificate --certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
