ACM (Amazon Certificate Manager) で Email 認証を使って発行された証明書を、DNS 認証に変更するには、以下の手順を行います。これは、元の証明書を変更するのではなく、DNS 認証を使用して新しい証明書を発行するプロセスです。
手順
- 新しい証明書をリクエストする
- AWS Management Console にログインし、ACM コンソール にアクセスします。
- 左側のメニューから「証明書のリクエスト」をクリックします。
- リクエストするドメイン名を入力し、次に進みます。
- DNS 認証の選択
- 「確認」をクリックして次へ進みます。
- 「認証方法の選択」で「DNS 認証」を選択します。
- DNS 設定の確認
- DNS 認証を選択すると、ACM は DNS の CNAME レコードを提供します。この CNAME レコードを、ドメインの DNS サーバーに追加する必要があります。
- 提供された CNAME レコードをコピーし、使用している DNS ホスティングプロバイダー(例:Route 53、または他の外部DNSプロバイダー)の管理画面にログインして、ドメインのDNS設定に追加します。
- DNS レコードを追加する
- DNS ホスティングサービスで、新しい CNAME レコードを追加します。追加後、DNS の反映に最大で数時間かかることがあります。
- 証明書の発行待ち
- DNS レコードが正しく追加されると、ACM は自動的に検証を行います。DNS の伝播が完了し次第、ACM で新しい証明書が発行されます。
- 古い証明書の削除
- 新しい DNS 認証の証明書が発行され、確認が取れたら、古い Email 認証の証明書を ACM から削除します。
メモ
- 新しい証明書を発行した際、対応するサービス(ALB, CloudFront など)で新しい証明書を指定する必要があります。
- DNS 認証は、ドメインの所有権を確認するために使われ、Email 認証に比べて再検証の手間が少ないため、特に複数の証明書を管理する場合や、AWS Route 53 を使っている場合に便利です。