ACM証明書をEメール検証からDNS検証に切り替える

AWS運用自動化サービス「Cloud Automator」

PS課の杉村です。AWS Certificate Manager(以下、ACM)ではEメール検証とDNS検証の2通りの方法でSSL/TLS証明書(DV)を発行することができます。

DNS検証はサービスリリース当初には無かった選択肢ですので、自動更新の理由でEメール検証の証明書をDNS検証に切り替えたい場合があるかもしれません。
参考: AWS Certificate Managerで発行した証明書の自動更新条件

では、一度Eメール検証で発行したACM証明書をDNS検証に切り替える方法はあるのでしょうか。

発行済の証明書を単に変更することはできない

のっけから矛盾的ですが、既に一度Eメール検証で発行したACM証明書をDNS検証に”変更”ことはできません。

同じドメイン名でDNS検証で証明書を新規発行し、ELB/CloudFront等側にセットする証明書を切り替えることはできます。

ELB等の証明書を変更すると、新規コネクションから新しい証明書を適用することになりますので、既存のコネクションが切断されるなどは無く、ダウンタイム無しで切り替えることができます。(セットする証明書を間違える、というリスクが無いわけではないですが…)

切り替えたいときは以下のような手順になります。
1. 新規にDNS検証でACM証明書を発行する
2. ELB等に紐づける証明書を新規発行の証明書に切り替える
3. 旧証明書(Eメール認証)を削除する

非常に短いですが、以上です。

ポイント

・Eメール検証のACM証明書をDNS検証に切り替えるためにはDNS検証の証明書を新規発行して使用サービス側で新しい証明書を使うようセットする

DNS検証のACM証明書のほうが何かと使い勝手がいいため、DNSレコードを自由に追加できない等の理由が無ければDNS検証を選択することをお勧めします。

AWS運用自動化サービス「Cloud Automator」