DNS 検証を利用しての ACM 証明書自動更新が失敗した時の対処方法

2022.05.06

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていた内容

DNS 検証を利用しての ACM 証明書自動更新が失敗しています。
昨年の ACM 証明書自動更新は正常に終了したのですが、今年の自動更新に失敗した原因を教えてください。

設定確認箇所

1. ACM で利用しているドメイン検証用の CNAME レコードがホストゾーン(ゾーンファイル)に登録されたままで変更が無いか確認をしてください。
ドメイン検証用の CNAME レコードがホストゾーン(ゾーンファイル)から削除されていた場合、対象のドメインを保有していることが確認できず、ACM 証明書の自動更新が失敗します。

DNS での検証

証明書は使用中で CNAME レコードが残っている状態であれば、証明書は ACM によって自動的に更新されます。

2. 証明書の前年度更新以降に CAA レコードの運用を始めた場合は CAA レコードの値に( amazon.com、amazontrust.com、awstrust.com、amazonaws.com )のいずれかのドメイン名があるか確認をしてください。

CAA (Certification Authority Authorization) の問題

証明書の発行中に、「CAA (Certification Authority Authentication) エラーにより、1 つまたは複数のドメイン名の検証に失敗しました。」というメッセージが表示された場合は、CAA DNS レコードを調べてください。ACM 証明書リクエストが正常に検証された後でこのエラーが表示された場合は、CAA レコードを更新して、証明書を再度リクエストする必要があります。

CAA レコードとは?

証明書を、ドメイン保有者以外が勝手に発行することを防止する仕組みです。
認証局(CA)が証明書を発行する際に CAA レコードを確認して、その認証局に対してドメイン保有者が証明書の発行を許可しているか確認をします。

Route 53 が CAA レコードに対応しました!
ACM が CAA レコードに対応しました!

まとめ

セキュリティ強化を目的に CAA レコードの導入をされるお客様が増えてきました。
ACM 証明書自動更新の失敗でお問い合わせをいただいた際には、まずドメイン検証用の CNAME レコードが削除されていないかのご確認をお願いしていますが、CAA レコードの運用を直近一年間で始めていないかのご確認もしていただけたらと思います。

参考資料