0526_NWJAWS登壇資料.pdf

ACM公開証明書における⾃動更新の仕組み 2026/05/26 ⾼橋尚株式会社ウフル NW-JAWS #21 〜改めて振り返るCloudFrontとELB(LV200)〜

⾃⼰紹介⽒名 • 髙橋尚（たかはししょう）所属 • 株式会社ウフル(新卒2年⽬) 業務
• ポータルサイトの保守運⽤よく触るサービス • Amazon connect, AWS Amplify

本⽇話すこと 1. ACMの概要 2. パブリック証明書とDNS検証の流れ 3. ⾃動更新の仕組み 4. 運⽤上の留意点 3

背景背景として、証明書の有効期限は短縮傾向にある • 以前(2026/3⽉)：397⽇ → 現在(2026/5⽉)：200⽇ • 2025年2⽉：JPRS(CA)の発⾏証明書が90⽇に短縮 • 2027年：Googleなどが47⽇有効期限を提案中
→ ⼿動運⽤には頻繁な確認が必要であり、⾃動更新の正確な理解が必要 4

ないとどうなるのか 5

ACM(AWS Certificate Manager)とは Amazonが提供するSSL/TLS証明書の発⾏‧管理サービス • 主な機能：発⾏ / 管理 / ⾃動更新
SSL/TLS証明書とは？ • 「このサーバーはこのドメインの正当な所有者である」と認証局(CA)が保証する電⼦的な⾝分証明書証明書の種類 6 種類料⾦⽤途 ACMパブリック証明書 $¥0 ALB/CloudFrontに適⽤プライベート証明書⽉$400+発⾏課⾦社内向け独⾃CA 外部インポート外部CAの料⾦外部のCAを使ってAWSサービスを使いたい

ACM(AWS Certificate Manager)とは Amazonが提供するSSL/TLS証明書の発⾏‧管理サービス • 主な機能：発⾏ / 管理 / ⾃動更新
SSL/TLS証明書とは？ • 「このサーバーはこのドメインの正当な所有者である」と認証局(CA)が保証する電⼦的な⾝分証明書証明書の種類 7 種類料⾦⽤途 ACMパブリック証明書 $0 ALB/CloudFrontに適⽤プライベート証明書⽉$400+発⾏課⾦社内向け独⾃CA 外部インポート外部CAの料⾦外部のCAを使ってAWSサービスを使いたい

8 SSL/TLS証明書が保証する内容 SSL/TLS証明書とは？ • 「このサーバーはこのドメインの正当な所有者である」と認証局(CA)が保証する電⼦的な⾝分証明書証明書の中⾝の情報 • ドメイン名(CN /
SAN)、公開鍵、発⾏者(CA)、有効期限など

証明書発⾏のステップ SSL/TLS証明書の発⾏プロセス 1. 証明書タイプ(パブリック/プライベート/外部インポート) 2. ドメイン名の指定 3. 検証⽅法(DNS検証 / Eメール検証)
4. リクエストして発⾏ 9

ACMにおける検証⽅法 ACMにおけるドメイン所有確認 • DNS検証、Eメール検証を選択可能 • 公開証明書の運⽤ではDNS検証を推奨(Eメール検証は更新時に都度操作が必要) DNS検証の流れ 10 ユーザー
ACM DNS ① 証明書発⾏リクエスト ② このCNAMEを追加して ③ CNAMEを追加 ④ CNAMEを確認 ⑤ 検証OK → 証明書発⾏

DNS検証 CNAMEレコードの中⾝ ACMが指定するCNAMEレコードの形式(例: example.jpで登録する場合) • name：_xxxxxxxx.example.jp • value：_yyyyyyyy.acm-validations.aws • <_xxx〜>部分がドメインから算出されるトークン(同⼀ドメインなら常に同じ値)
• 例：example.jpと*.example.jpから同じCNAMEレコードが発⾏される hogehoge.example.jpとかだとまた異なるCNAMEレコードが発⾏されるので注意 11

⾃動更新の条件⾃動更新が⾏われる条件 • 条件①：DNS検証⽤のCNAMEがDNSに残っている • 条件②：証明書がAWSリソースにアタッチされている → この2つを満たしていれば、ACMが⾃動で更新 ACMのマネコン上で確認可能 12

⾃動更新のタイミング⾃動更新のタイミング • 有効期限の60 or 45⽇前からACMが⾃動で再検証を開始 (証明書の有効期間による) • 再検証成功後、新しい証明書を発⾏する •
アタッチ先(CloudFront / ALB等)へ⾃動反映される利⽤者が⾏う作業 • 条件を満たしていれば、ユーザーから不要 13

運⽤上の注意点リージョンに関する制約リージョン制約 • CloudFront：必ずus-east-1で発⾏ • ALB：ALBと同じリージョンで発⾏ • 同じ証明書を別リージョンで発⾏する場合、それぞれ独⽴したARNが付与されるが、別リージョンで発⾏されても値は同じ
※異なるAWSアカウントで同じドメインで発⾏すると異なる 14

まとめ • ⾃動更新の条件は2つ – 証明書がAWSリソースにアタッチされている – CNAMEレコードがDNSが登録されたまま • CNAMEを消すと⾃動更新が⽌まってしまうので注意 15

16 ご清聴いただき、ありがとうございました！！

0526_NWJAWS登壇資料.pdf

0526_NWJAWS登壇資料.pdf

髙橋尚

More Decks by 髙橋尚

Featured

Transcript

ACM公開証明書における⾃動更新の仕組み 2026/05/26 ⾼橋尚株式会社ウフル NW-JAWS #21 〜改めて振り返るCloudFrontとELB(LV200)〜

⾃⼰紹介⽒名 • 髙橋尚（たかはししょう）所属 • 株式会社ウフル(新卒2年⽬) 業務

本⽇話すこと 1. ACMの概要 2. パブリック証明書とDNS検証の流れ 3. ⾃動更新の仕組み 4. 運⽤上の留意点 3

背景背景として、証明書の有効期限は短縮傾向にある • 以前(2026/3⽉)：397⽇ → 現在(2026/5⽉)：200⽇ • 2025年2⽉：JPRS(CA)の発⾏証明書が90⽇に短縮 • 2027年：Googleなどが47⽇有効期限を提案中

ないとどうなるのか 5

ACM(AWS Certificate Manager)とは Amazonが提供するSSL/TLS証明書の発⾏‧管理サービス • 主な機能：発⾏ / 管理 / ⾃動更新

ACM(AWS Certificate Manager)とは Amazonが提供するSSL/TLS証明書の発⾏‧管理サービス • 主な機能：発⾏ / 管理 / ⾃動更新

8 SSL/TLS証明書が保証する内容 SSL/TLS証明書とは？ • 「このサーバーはこのドメインの正当な所有者である」と認証局(CA)が保証する電⼦的な⾝分証明書証明書の中⾝の情報 • ドメイン名(CN /

証明書発⾏のステップ SSL/TLS証明書の発⾏プロセス 1. 証明書タイプ(パブリック/プライベート/外部インポート) 2. ドメイン名の指定 3. 検証⽅法(DNS検証 / Eメール検証)

ACMにおける検証⽅法 ACMにおけるドメイン所有確認 • DNS検証、Eメール検証を選択可能 • 公開証明書の運⽤ではDNS検証を推奨(Eメール検証は更新時に都度操作が必要) DNS検証の流れ 10 ユーザー

⾃動更新の条件⾃動更新が⾏われる条件 • 条件①：DNS検証⽤のCNAMEがDNSに残っている • 条件②：証明書がAWSリソースにアタッチされている → この2つを満たしていれば、ACMが⾃動で更新 ACMのマネコン上で確認可能 12

⾃動更新のタイミング⾃動更新のタイミング • 有効期限の60 or 45⽇前からACMが⾃動で再検証を開始 (証明書の有効期間による) • 再検証成功後、新しい証明書を発⾏する •

まとめ • ⾃動更新の条件は2つ – 証明書がAWSリソースにアタッチされている – CNAMEレコードがDNSが登録されたまま • CNAMEを消すと⾃動更新が⽌まってしまうので注意 15

16 ご清聴いただき、ありがとうございました！！