ACMの証明書をDNS検証にする

ACMのEメール検証で使用していたAWS発行の証明書が自動的に更新されておらず、調べたところ以下のようにEメール検証の場合は825日経過したら再度検証が必要ということでした。

E メールで検証済みの証明書は、最初の検証日から 825 日目まで更新できます。825 日を経過したら、ドメインの所有者または承認された担当者は、新しい証明書をリクエストする必要があるのに対し、DNS で検証済みの証明書は、無期限に更新できます。

このため、他のEメール検証になっている証明書もDNS検証に変更しておこうと思ったのでメモです。

証明書の作成方法

ACMのページを開いて証明書のリクエストを押します。

パブリック証明書のリクエストにチェックが入っていると思うのでそのまま証明書のリクエストを押します。

ドメイン名の部分に欲しい証明書のドメインを記入して次へを押します。ワイルドカードの指定をしたり「この証明書に別の名前を追加」を押せば複数追加したりもできます。

DNSの検証にチェックを入れて確認を押します。

間違いなければ確認とリクエストを押します。

DNS検証の為のネームサーバーへの設定値の入力ページが表示されるのでネームサーバーに設定します。

Route53を使用している場合には「Route53でのレコードの作成」を押して作成を押すと自動で設定してくれます。

Route53の設定画面を見ると以下のように設定されていることがわかります。

無事設定できると「成功」と表示されます。ただしすぐ証明書が使えるわけではなく使えるようになるには30分程度かかります。

しばらくすると、検証状態が成功に変わるのでそうすると証明書を使用することができるようになります。

CloudFrontの設定ページへ移動して対象のCloudFrontのDistributionを選択してEditを押します。

SSL Certificateの「Custom SSL Certificate」を選択して、先程作成した証明書を下のテキストボックスに設定します。

設定後下にある「Yes, Edit」を押して完了です（設定後反映にしばらく時間がかかります）