ACM を使用して証明書を発行または更新するときに、検証メールが届かないのはなぜですか?

所要時間2分
0

AWS Certificate Manager (ACM) 証明書を発行または更新するための検証メールが届かなかったのはなぜですか?

簡単な説明

ACM は、MX レコードがドメインに存在する場合に限り、5 つの一般的なシステムアドレスに検証メールを送信します。デフォルトの E メールアドレスのリストについては、「MX レコード」を参照してください。

ACM は、WHOIS リストのドメイン登録者、技術担当者、管理者の連絡先フィールドに関連付けられた E メールアドレスにもドメイン検証メールを送信します。詳細については、E メールを使用してドメインの所有権を検証するを参照してください。

一部のドメインレジストラは、WHOIS(「Who is」)データに連絡先情報を入力しません。ACM 証明書の問題または更新は、次の場合に影響を受ける可能性があります。

  • ドメインレジストラが WHOIS データに連絡先の E メールアドレスを含まない。
  • WHOIS で証明書の検証にカスタムのメールアドレスを使用します。

E メール検証の WHOIS ルックアップは apex ドメインで実行され、ドメイン登録者、技術担当者、および管理担当者の連絡先フィールドで E メールアドレスを検索します。WHOIS クエリを使用して、リストされた E メールアドレスを確認します。詳細については、「ドメインの連絡先情報のプライバシー保護の有効化/無効化」を参照してください。ドメインでプライバシー保護が有効になっているときには、次のような返信が届かない、または応答が届かない場合があります。

Registrant Contact
Name: Data Protected Data Protected
Organization: Data Protected
Mailing Address: 123 Data Protected, Toronto ON M6K 3M1 CA
Phone: +1.0000000000
Ext:
Fax: +1.0000000000
Fax Ext:
Email:noreply@data-protected.net

注:

  • ACM は CAPTCHA と互換性がありません。ACM は、CAPTCHA テキストで設定された WHOIS データを検出しない場合があります。
  • AWS は WHOIS データを制御しないため、WHOIS サーバーのスロットリングを防止できません。詳細については、「WHOIS スロットリング」を参照してください。

解決方法

設定と維持や切り替えに必要な作業に応じて、2 つのオプションを使用できます。

  • ACM 証明書の検証方法を E メールから DNS、または DNS から E メールに切り替えることはできません。検証方法を切り替えるには、新しい ACM 証明書をリクエストして古い証明書と置き換えます。
  • AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行時にエラーが発生した場合は、AWS CLI の最新バージョンを使用すしているか確認してください

オプション 1 – E メールを使用する

ドメインの証明書をチェックして、メールアドレスを確認します。

  1. [ACM コンソール] を開き、[証明書を一覧] を選択します。
  2. 更新する証明書を選択します。
  3. [ドメイン] で、[登録された所有者] 項目を確認します。通常、登録された所有者には、admin@、administrator@、hostmaster@、postmaster@、webmaster@ が含まれます。

5 つのシステムの E メールアドレスが表示されない場合は、以下のコマンドを使用して、ドメインに少なくとも 1 つの有効な MX レコードがあることを確認します。

Linux および macOS

$dig mx example.com

Windows

$nslookup -q=mx example.com

MXレコード メールサーバーには、次のような検証メールが送信されます。

;; ANSWER SECTION:
example.com.             599     IN      MX      10 mail1.example.com.
example.com.             599     IN      MX      20 mail2.example.com.

以下の場合、 Amazon Simple Email Service (Amazon SES) と Amazon Simple Notification Service (Amazon SNS) を使用して ACM 検証メールを受信することもできます。

  • MX レコードがない
  • ドメインレジストラが E メール転送をサポートしていない。

AWS マネジメントコンソールまたは AWS CLI を使用して検証メールを再送信する手順に従います

詳細については、「E メール検証の問題のトラブルシューティング」を参照してください。

オプション 2 – DNS を使用する

DNS 検証に切り替えるには、ACM 証明書を再作成し、検証のために [DNS] を選択します。DNS 検証には、メール検証よりもいくつかの利点があります。特に、Amazon Route 53 がドメインの DNS プロバイダーである場合。

  • DNS では、ACM 証明書のリクエストにのみ使用されるドメイン名ごとに 1 つの CNAME レコードを作成する必要があります。メール検証では、ドメイン名ごとに最大 8 通の E メールメッセージが送信されます。
  • DNS レコードを使用している場合、完全修飾ドメイン名 (FQDN) 用に追加の ACM 証明書をリクエストできます。
  • DNS を使用して検証した証明書は、ACM で自動的に更新されます。証明書と DNS レコードの両方を使用している場合、各証明書は失効前に ACM で更新されます。
  • Route 53 を使用してパブリック DNS レコードを管理している場合、ACM で CNAME レコードを自動的に追加できます。
  • DNS 検証プロセスを使用したオートメーションは、E メール検証プロセスと比べてよりシンプルです。
  • DNS 検証への切り替えで、追加コストは発生しません。

以前の ACM 証明書を使用している AWS Certificate Manager と統合されているサービスは、新しい証明書を使用するように更新する必要があります。新しい ACM 証明書では Amazon リソースネーム (ARN) が生成されるためです。新しい ACM 証明書で ARN を保持することはできません。更新された ACM 証明書のみが同じ ARN を保持します。

ACM 証明書のリージョンを確立するには、以下のような AWS CLI コマンド describe-certificate を実行します。

$aws acm describe-certificate --certificate-arn arn:aws:acm:region:12345678911:certificate/123456-1234-1234-1234-123456789 --output text |grep INUSEBY

詳細については、「DNS での検証」を参照してください。


関連情報

証明書検証のトラブルシューティング

ACM 証明書の管理された更新

証明書の更新ステータスの確認

メールで検証されたドメインの更新

コメントはありません