« AWS Organizations の発表: 複数 AWS アカウントの一元管理 | メイン | AWS Black Belt Online Seminar「Amazon WorkSpaces」資料およびQA公開 »

AWS Certificate Manager (ACM) 証明書の自動更新時の注意点

皆様、こんにちは。セキュリティ ソリューション アーキテクトの桐山です。

2016年も師走に入り、いよいよ一年が終わろうとしているこの時期、該当の方は初めての AWS Certificate Manager (ACM) 証明書の自動更新を迎えることになります!

そこで今回はACM 証明書自動更新時の注意点を以下に投稿いたします。

滅多にない事ですが、悪条件が重なれば最悪の場合、証明書が失効して皆様の Web サイトが突然不通になるかもしれませんので、ACM ご利用の方は是非ご覧ください。

 

ACM について

ACM とは、CloudFront や Elastic Load Balancing (ELB) などの AWS サービスで使用する SSL/TLS 証明書の管理を行えるマネージドサービスです。

2016/1/21に米国東部 (バージニア北部) リージョンでサービスを開始し、東京リージョンでは2016年5月から提供が始まりました。

証明書を CloudFront で利用する場合は、必ず米国東部 (バージニア北部) リージョンの ACM になっています。

よって、ACM サービス開始当時から CloudFront にてご利用いただいている方は、利用開始からもうすぐ一年が経つことになります。

 

ACM 証明書更新プロセス

SSL/TLS 証明書は通常有効期限が設定されており、有効期限が切れる前に更新を行う必要があります。

ACM での証明書の有効期限は発行日から13か月後です。そして、有効期限の60日前から更新プロセスが開始されます。

たとえば、ACM サービス開始日 (2016年1月21日) からご利用いただいている方は、有効期限がその13か月後 (2017年2月21日) であり、更新プロセスは有効期限の約60日前 (2016年12月後半) から始まります。

皆様がお使いの ACM 証明書の有効期限がいつから開始されたかは、AWS 管理コンソールから確認できます。

Detail_certificate

 

自動更新プロセス適用条件

通常、ACM では自動で証明書更新が完了いたします。ご利用者側で証明書をインストールしたりソフトウェアを更新いただく必要はありません。自動更新による通信の瞬断もありません。証明書の保守管理が理由でWebサイトなどを一時停止する必要無いのは便利ですね。

この自動更新が完了するには以下の条件を全て満たす必要があります。

  1. 証明書に記載されている全ての完全修飾ドメイン名 (FQDN) が DNS で名前解決できること。なお、ワイルドカードドメイン (例:*.example.com) に関しては ACM は名前解決の確認を行いません。Domainname
  2. CloudFront や ELB (Classic Load Balancer や Application Load Balancer) など、証明書と関連づいている AWS リソースが、インターネット経由で SSL/TLS 接続できるようになっていること。なお、ワイルドカードドメイン (例:*.example.com) に関しては、ACM側が接続先を正しく特定できない可能性があるので、この先に書かれている「自動更新が失敗した場合」に備えてください。 Certificate-usage

これらの条件に当てはまらない場合は自動更新が失敗することになります。

 

もし自動更新が失敗した場合は?

証明書に記載されているドメインのオーナーに対して、証明書更新方法を記載した検証用メールを送付いたします。メール内容を確認し、手動で更新してください。

検証用メールの宛先は、利用者が証明書発行の際に使用したメールアドレスです。具体的には、WHOIS 情報に記載のメールアドレスと、admin@、administrator@、hostmaster@、webmaster@、および postmaster@です。

この検証用メールを受け取れないとなると、手動更新もできずに知らぬ間に証明書の有効期限が切れることになるかもしれません。Web サイトの不通など最悪の事態に陥らないように、ACM 証明書申請時に使用していたメールアドレスや環境がお手元にあることをご確認ください。WHOIS 上のメールアドレスが変更になっていたり、MX レコードが削除されていたりしないか要注意です。

検証用メールによる方法でも更新できなかった場合、その旨を AWS アカウントに登録されているメールアドレス宛てに通知いたします。

ここまで書きましたが、もちろん大前提としてこれらは「現在使用されている証明書」についての話です。どの AWS リソースにも関連づいていない場合は使用中ではないので、証明書の更新プロセスはそもそも行われません。

Listcertificate_isused

それでは皆様、これからも快適なACMライフをお楽しみください!

本ブログ執筆にあたり、AWS サポートの山下さん、長谷川(はせじゅん)さんに多大なご協力をいただきました。あらためて感謝申し上げます。

- セキュリティ ソリューション アーキテクト 桐山 隼人(@hkiriyam1)

 

コメント

Twitter, Facebook

このブログの最新情報はTwitterFacebookでもお知らせしています。お気軽にフォローください。

2017年12 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31