Certificate Manager (ACM) がDNSの検証をサポートしました

112件のシェア(ちょっぴり話題の記事)

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

ウィスキー、シガー、パイプをこよなく愛する大栗です。

無料のSSL/TLS証明書サービスであるCertificate Manager (ACM) でDNSの検証がサポートされましたので、早速試してみました。

Certificate Managerの検証

SSL/TLS証明書サービスであるACMは、正当なドメインの管理者であることを検証をするステップがあります。今までは対象のドメインと親ドメインの管理者に対してEメールを送信して、本文に記載しているURLにアクセスすることで検証していました。今回DNSを使用して検証する事がサポートされました。

一般的なDNSによるドメイン検証ではサブドメインにTXTレコードを設定するのですが、ACMではサブドメインにCNAMEを設定します。

試してみる

実際にSSl/TLS証明書を発行してみます。

ACMのコンソールで証明書のリクエストをクリックします。

SSL/TLS証明書を取得するドメインを入力して、次へをクリックします。

DNS の検証を選択します。

内容を確認して確定とリクエストをクリックします。

DNSで検証するための情報が表示されます。Route 53を使用している場合はRoute 53 でのレコードの作成をクリックします。Route 53以外の場合は個別にCNAMEを設定して下さい。ここではRoute 53を使用しているためRoute 53 でのレコードの作成をクリックします。CNAMEの設定先は<ランダム文字列>.acm-validations.awsとなります。

設定するRoute 53のホストゾーンとレコードの内容を確認して作成します。

ステータスが検証保留中となるのでしばらく待ちます。

Route 53を見るとCNAMEが設定されています。

しばらくするとドメインの検証が成功して証明書が発行されます。

さいごに

今までACMを発行するためにメールの受信環境を構築する必要がありました(そもそもRFC2142では対象ドメインのメールを受信できることが望ましいのですが)。今回サポートされたDNSによる検証で簡単に(自動化がしやすい)行えます。CNAMEを設定するという珍しい検証方法ですが検証が楽になるのは良いですね。