View a markdown version of this page

を使用するように をセットアップする AWS Certificate Manager - AWS Certificate Manager
にサインアップする AWS アカウントドメイン名を登録する(オプション) CAA レコードの設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用するように をセットアップする AWS Certificate Manager

AWS Certificate Manager (ACM) を使用すると、 AWS ベースのウェブサイトとアプリケーションの SSL/TLS 証明書をプロビジョニングおよび管理できます。ACM を使用して、証明書を作成またはインポートしてから管理します。証明書をウェブサイトまたはアプリケーションにデプロイするには、他の AWS サービスを使用する必要があります。ACM に統合されるサービスについての詳細は、サービスと ACM の統合 を参照してください。次のセクションでは、ACM を使用する前に実行する必要のある手順について説明します。

にサインアップする AWS アカウント

の使用を開始するには AWS、 が必要です AWS アカウント。の作成の詳細については AWS アカウント、 AWS アカウント管理 リファレンスガイドの「 の開始方法 AWS アカウント」を参照してください。

ACM のドメイン名を登録する

完全修飾ドメイン名 (FQDN) は、.com .org などのトップレベルのドメイン拡張子を末尾に付けた、組織や個人のインターネット上の独自の名前です。登録したドメイン名をまだ保持していない場合には、Amazon Route 53 やそのほか多くの商業レジストラからドメイン名を登録できます。一般的には、レジストラのウェブサイトからドメイン名をリクエストします。ドメイン名の登録の有効期限は通常、1〜2 年間となり、期限内に更新する必要があります。

Amazon Route 53 でドメイン名を登録する方法についての詳細は、Amazon Route 53 開発者ガイドの「Amazon Route 53 を使用したドメイン名の登録」を参照してください。

(オプション) CAA レコードの設定

CAA レコードでは、ドメインまたはサブドメインの証明書の発行を許可する認証機関 (CA) を指定します。ACM で使用する CAA レコードを作成すると、間違った CA がドメインの証明書を発行することを防止できます。CAA レコードは、ドメインの所有者であることを検証する要件など、認証機関によって指定されたセキュリティ要件に代わるものではありません。

ACM は、証明書リクエストプロセス中にドメインを検証した後、CAA レコードの有無をチェックして、証明書を発行できるかどうかを確認します。CAA レコードの設定はオプションです。

CAA レコードを設定するときは、次の値を使用します。

flags

ACM で [tag] フィールドの値がサポートされるかどうかを指定します。この値は 0 に設定します。

tag

[tag] フィールドの値は次のいずれかになります。現時点では iodef フィールドは無視されます。

問題

[value] フィールドに指定した ACM CA が、ドメインまたはサブドメインの証明書の発行を許可されていることを示します。

issuewild

[value] フィールドに指定した ACM CA が、ドメインまたはサブドメインのワイルドカード証明書の発行を許可されていることを示します。ワイルドカード証明書はドメインまたはサブドメイン、およびそのすべてのサブドメインに適用されます。HTTP 検証を使用する予定の場合、HTTP 検証ではワイルドカード証明書がサポートされていないため、この設定は適用されません。ワイルドカード証明書の代わりに、DNS または E メール検証を使用します。

このフィールドの値は、[tag] フィールドの値によって異なります。この値は、引用符 ("") で囲む必要があります。

[tag] が [issue] の場合

[value] フィールドには CA ドメイン名を指定します。このフィールドには、Amazon CA 以外の CA の名前を指定することができます。ただし、次の 4 つの Amazon CA のいずれかを指定する CAA レコードがない場合、ACM は、ドメインまたはサブドメインに証明書を発行することはできません。

  • amazon.com

  • amazontrust.com

  • awstrust.com

  • amazonaws.com

[value] フィールドにセミコロン (;) を指定して、ドメインまたはサブドメインの証明書を発行することを許可された CA はないことを示すことができます。このフィールドは、特定のドメインに対する証明書の発行が不要になった時点で使用します。

[tag] が [issuewild] の場合

[value] フィールドは、値がワイルドカード証明書に適用されること以外は [tag] が [issue] の場合と同じです。

ACM CA 値を含まない issuewild CAA レコードが存在する場合、ACM はワイルドカードを発行できません。issuewildが存在しないが、ACM の発行 CAA レコードがある場合、ワイルドカードが ACM によって発行される場合があります。

例 CAA レコードの例

次の例では、ドメイン名が先頭にあり、その後にレコードタイプ (CAA) が続いています。[flags] フィールドは常に 0 です。[tags] フィールドは、[issue] または [issuewild] にすることができます。フィールドが [issue] のときに、[value] フィールドに CA サーバーのドメイン名を入力した場合、その CAA レコードは、リクエストされた証明書のサーバーによる発行を許可したことを示します。[value] フィールドにセミコロン ";" を入力した場合、その CAA レコードは、証明書の発行を許可された CA はないことを示します。CAA レコードの設定は、DNS プロバイダーによって異なります。

重要

CloudFront で HTTP 検証を使用する場合、HTTP 検証はワイルドカード証明書をサポートしていないため、 issuewild レコードを設定する必要はありません。ワイルドカード証明書の場合は、代わりに DNS または E メール検証を使用します。

Domain       Record type  Flags  Tag      Value   
example.com.   CAA            0        issue      "SomeCA.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazon.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazontrust.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "awstrust.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazonaws.com"
Domain       Record type  Flags  Tag      Value 
example.com    CAA            0        issue      ";"

DNS レコードを追加または変更する方法の詳細については、DNS プロバイダーに確認してください。Route 53 は CAA レコードをサポートしています。Route 53 が DNS プロバイダーの場合、レコード作成の詳細については、「CAA 形式」を参照してください。