Route 53 の ACM 証明書を検証する方法を教えてください。

簡単な説明

Route 53 の ACM 証明書を検証するには、DNS 検証を使用してください。ドメインの所有権を証明するには、ACM が提供する CNAME レコードを DNS 設定に追加します。

解決方法

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI で発生したエラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。

Route 53 がドメインの DNS サービスプロバイダーである場合は、ACM コンソールで DNS 検証を設定して CNAME を作成します。このオプションを選択すると、ACM はレコードをドメインの Route 53 ホストゾーンに自動的に追加します。

ただし、次のいずれかに当てはまる場合は、CNAME レコードを手動で追加する必要があります。

• 同じドメインに複数のホストゾーンがある。
• ホストゾーンが別の AWS アカウントにある。

NS レコードを判別する

ネームサーバー (NS) レコードを判別するには、まず対応するホストゾーンの DNS 構成を特定します。次のコマンドを実行します。

Linux、macOS:

$ dig NS example.com

Windows:

$ nslookup -type=ns example.com

注: example.com を実際のドメイン名に置き換えてください。

このコマンドは、ドメインの DNS 設定の NS レコードを出力します。

CNAME レコードを、出力内のネームサーバーと同じ NS レコードを含む Route 53 ホストゾーンに追加します。

出力例:

$ dig example.com NS; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.amzn2.0.2 <<>> example.comNS
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56071
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:
;example.com. IN NS

;; ANSWER SECTION:
example.com. 300 IN NS ns-199x.awsdns-xx.co.uk.
example.com. 300 IN NS ns-29x.awsdns-xx.com.
example.com. 300 IN NS ns-54x.awsdns-xx.net.
example.com. 300 IN NS ns-120x.awsdns-xx.org.

Route 53 に CNAME レコードを追加する

NS レコードを使用して使用するホストゾーンを特定した後、そのゾーンに CNAME レコードを追加します。次の手順を実行します。

1. Route 53 コンソールを開きます。
2. ドメインのホストゾーンに移動します。このホストゾーンには、前のタスクで特定したネームサーバーと同じ NS レコードが必要です。
3. [レコードの作成] を選択します。
4. [名前] に ACM が生成した CNAME のレコード名を入力します。ただし、ドメイン部分は省略してください。詳細については、「ACM の CNAME レコードの仕組み」を参照してください。
5. [値] に ACM から取得した完全なレコード値を入力します。
6. [レコードタイプ] で [CNAME - トラフィックを別のドメイン名および一部の AWS リソースにルーティング] を選択します。
7. [ルーティングポリシー] で [シンプルルーティング] を選択します。
8. [レコードを作成] を選択します。

CNAME レコードの解決を確認する

Route 53 が CNAME レコードを DNS 設定に追加したことを確認するには、次のようなコマンドを実行します。

Linux、macOS:

dig +short _example-cname.example.com

Windows:

nslookup -type=cname _example-cname.example.com

注: example-cname.example.com を実際の ACM CNAME レコードに置き換えてください。

CNAME レコードが正常に追加、伝達された場合は、コマンド出力は CNAME レコードの値を返します。

個別のホストゾーンを使用する場合と使用しない場合のサブドメイン証明書リクエスト

別のホストゾーンを使用するサブドメインの証明書をリクエストするには、次の手順を実行します。

1. 「NS レコードを判別する」セクションの手順を実行し、サブドメインの NS レコードを特定します。
2. コマンドでは、ドメイン名をサブドメイン名に置き換えてください。
3. コマンド出力を確認します。
   NS レコードが返される場合は、これらの値と一致する CNAME レコードをサブドメインのホストゾーンに追加します。
   NS レコードが返されない場合は、サブドメインの委任を確認してください。
   詳細については、「Route 53 でホストされているドメインのサブドメインを作成する方法を教えてください」を参照してください。

別のホストゾーンがないサブドメインの証明書をリクエストするには、次の手順を実行します。

1. Apex ドメインのホストゾーンに CNAME レコードを追加します。詳細については、「AWS を使用するサードパーティ DNS プロバイダーにおける DNS Zone Apex の課題を解決する」を参照してください。
2. 「CNAME レコードの解決を確認する」セクションの手順を実行し、CNAME レコードが正しく解決されることを確認します。

注: DNS 構成が最近変更された場合は、保持期間 (TTL) 値に応じて、伝達の遅延が発生する可能性があります。

関連情報

ドメイン名に ACM マネージド更新プロセスを使用した後も、ACM 証明書の更新ステータスが「Pending validation (検証保留)」状態のままになる理由を教えてください

ターゲット DNS に Amazon Route 53 エイリアスレコードを設定する