AWS SSL証明書の自動更新ができなかった理由

Last updated at 2024-12-09Posted at 2024-12-09

AWSからこんな通知が来た

===== AWS サポートからの連絡内容（翻訳） =====
主題：
必要なアクション - 証明書の更新
体：
Amazon Web Servicesよりご挨拶申し上げます。
AWS アカウントには、2024 年 xx 月 xx 日 23:59:59 UTC に有効期限が切れる AWS Certificate Manager の SSL/TLS 証明書があります。この証明書には、プライマリドメイン xxx と合計 1 つのドメイン。
AWS アカウント ID: xxxxxxxxxxx
AWS リージョン名: xxxx
証明書識別子: xxxx
AWS Certificate Manager (ACM) は、DNS 検証を使用して証明書を自動的に更新できませんでした。2024 年 xx 月 xx 日 23:59:59 UTC までに更新が完了するように対策を講じる必要があります。証明書が更新されず、現在の証明書の有効期限が切れると、Web サイトまたはアプリケーションにアクセスできなくなる可能性があります。
この証明書を更新するには、以下の各ドメインのDNS設定に適切なCNAMEレコードが存在することを確認する必要があります。ドメインのCNAMEレコードは、ACMコンソールで証明書とそのドメインエントリを展開することで見つけることができます。また、証明書のCNAMEレコードを見つけるには、ACM API[1]のDescribeCertificateコマンドまたはACM CLI[2]のdescribe-certificate操作を使用します。詳細については、ACMトラブルシューティングガイド[3]の「自動ドメイン検証の失敗」を参照してください。

このプロセスについて質問がある場合は、サポートセンター[4]にお問い合わせください。AWSサポートプランをお持ちでない場合は、AWS Certificate Managerディスカッションフォーラム[5]に新しいスレッドを投稿できます。
[1] https://docs.aws.amazon.com/acm/latest/APIReference/API_DescribeCertificate.html
[2] https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html
[3] https://docs.aws.amazon.com/acm/latest/userguide/troubleshooting-renewal.html#troubleshooting-renewal-domain-validation-failure
[4] https://console.aws.amazon.com/support
[5] https://repost.aws/tags/TAJ7zd4vjzSfC_8JNlsbq2tA?forumID=206

内容

社内のAWS環境のSSL証明書を更新できない
- 通常は自動更新される予定だが、何かしらの不備により更新できないとの連絡
- AWS環境が2週間後に使えなくなる

ChatGPTに聞いた

AWS SSL証明書が自動更新できない主な理由は以下の通りです：
1. DNS検証設定の不備: 必要なCNAMEレコードが正しく設定されていない。
2. Email検証の利用: Email検証を使用した証明書は自動更新されない。
3. 未使用の証明書: リソース（例: ELBやCloudFront）に関連付けられていない証明書は更新対象外。
4. インポート証明書: ACM外で発行された証明書は自動更新に対応していない。

これらを確認し修正することで、多くの場合、問題を解決できます。