【小ネタ】ACM 同じドメイン名のパブリック証明書のDNS検証レコードは同一だった(異なるAWSアカウントは除く)

2020.09.07

はじめに

タイトルの通りです。DNS検証レコードのタイムアウトが間近になって慌てたこともあり、備忘録として残しておきます。なお、同一のDNS検証レコードは、単一のAWSアカウントの場合です。異なるAWSアカウントでパブリック証明書を発行した場合は、同一のDNS検証レコードになりません。

DNS検証レコードとは

Amazon Certificate Managerでパブリック証明書を発行するとDNS検証レコードを使ってドメインを確認することで証明書が利用できるようになります。証明書の更新も自動で行えるので、必ずと言っていいほど利用しているサービスですが、注意事項があります。DNS検証レコードは、72時間以内にレコードを確認する必要があります。DNS検証レコードが確認できなかったパブリック証明書は、利用できなくなるので新しくパブリック証明書を発行する必要があります。

レコードの登録

Route53でゾーンを管理して書き込み権限がある場合は、レコードを追加することは容易ですが、Route53に書き込み権限がない場合やRoute53以外のDNSサービスでゾーンを管理している場合は、管理者に申請してから登録されるまでのリードタイムが発生する場合があります。
実際にパブリック証明書を発行してから72時間を超えそうになったので新しいパブリック証明書を発行する必要が出てきました。

同じドメイン名のDNS検証レコードは同じ

同じドメインでパブリック証明書を再度発行したところ、DNS検証レコードのName,Valueが全く一緒でした。

最初に発行したパブリック証明書
同じドメイン名で再度発行したパブリック証明書

ドキュメンテーションをよく読むと、DNS検証レコードが登録されていれば同じドメイン名の証明書を発行しても新たにDNS検証レコードを登録する必要はないようです。

You can request additional ACM certificates for your FQDN for as long as the DNS record remains in place. That is, you can create multiple certificates that have the same domain name. You do not need to get a new CNAME record.https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-validate-dns.html

終わりに

そもそもDNS検証レコードを登録する為のリードタイムを事前に確認しておけば問題ありませんが、同一ドメイン名のDNS検証レコードが一緒であることがわかれば慌てることもありません。