PS課の杉村です。AWS Certificate Manager(以下、ACM)ではEメール検証とDNS検証の2通りの方法でSSL/TLS証明書(DV)を発行することができます。
DNS検証はサービスリリース当初には無かった選択肢ですので、自動更新の理由でEメール検証の証明書をDNS検証に切り替えたい場合があるかもしれません。 参考: AWS Certificate Managerで発行した証明書の自動更新条件
では、一度Eメール検証で発行したACM証明書をDNS検証に切り替える方法はあるのでしょうか。
発行済の証明書を単に変更することはできない
のっけから矛盾的ですが、既に一度Eメール検証で発行したACM証明書をDNS検証に"変更"ことはできません。
同じドメイン名でDNS検証で証明書を新規発行し、ELB/CloudFront等側にセットする証明書を切り替えることはできます。
ELB等の証明書を変更すると、新規コネクションから新しい証明書を適用することになりますので、既存のコネクションが切断されるなどは無く、ダウンタイム無しで切り替えることができます。(セットする証明書を間違える、というリスクが無いわけではないですが...)
切り替えたいときは以下のような手順になります。
1. 新規にDNS検証でACM証明書を発行する
2. ELB等に紐づける証明書を新規発行の証明書に切り替える
3. 旧証明書(Eメール認証)を削除する
非常に短いですが、以上です。
ポイント
- Eメール検証のACM証明書をDNS検証に切り替えるためにはDNS検証の証明書を新規発行して使用サービス側で新しい証明書を使うようセットする
DNS検証のACM証明書のほうが何かと使い勝手がいいため、DNSレコードを自由に追加できない等の理由が無ければDNS検証を選択することをお勧めします。
杉村 勇馬 (記事一覧)
サーバーワークス → 株式会社G-gen 執行役員CTO
2021 Japan APN Ambassadors / 2021 APN All AWS Certifications Engineers
マルチAWSアカウント管理運用やネットワーク関係のAWSサービスに関するブログ記事を過去に執筆。
2021年09月から株式会社G-genに出向、Google Cloud(GCP)が専門に。G-genでもGoogle Cloud (GCP) の技術ブログを執筆中。