ACMで証明書の自動更新されない理由が分かった

AWS Certificate Manager(ACM)で証明書が自動更新されない理由が分かったので書くのと、自分の状況ではACMは関係ないところで証明書が期限切れになった話をする。

状況については以下（ゾーンエイペックスはexample.comを想定）

• ACMにてSSL/TLS証明書を管理していた
• ワイルドカード証明書を発行していた
• service.example.comというサブドメインでペライチを利用
  • AレコードでペライチのIPアドレスを指定
• service.example.com以外はAWSリソースに関連付けている
• service.example.comの証明書の有効期限が切れており更新されてなかった
• ペライチの決済がクレジットカードの期限切れでサービスが更新されてなかった

※そもそもクレジットカード更新してなくて止まっている時点でおかしいがご愛嬌。

一旦、自分の事象における結論：

• 原因はペライチでカスタムURLの設定ができてなかったから
  • ペライチでカスタムURLの設定が決済ができなかったことによって消えた？？
  • 設定ちゃんとしたらOKだった

よく分からんがカスタムURLの設定が消えてたので設定しなおしたら証明書も発行されて万々歳。

おそらく一般にACMの証明書が自動更新されない理由：

• 以下の３つの条件を満たしてないから

1. 証明書に記載されているFQDNが名前解決できること
2. 証明書が使用されていること（AWSリソースに関連付けられていること）
3. 証明書に紐付いているAWSリソースが、インターネット経由で SSL/TLS接続できること

https://blog.serverworks.co.jp/tech/2017/04/05/acm-renewal/

つまり、AWSリソースに関連付いてないドメインに対しての証明書は自動更新されないことになる。手動更新の仕方は以下のサイトを参考にして更新をリクエストすると良いのだろう。
https://dev.classmethod.jp/articles/acm-expire-cation/

参考になったページを載せておく

https://zenn.dev/mn87/articles/90609fffd8c634
https://ginyon.hatenablog.com/entry/acm-enable-automation-update-for-wildcard-certificate
https://dev.classmethod.jp/articles/acm-expire-cation/
https://blog.serverworks.co.jp/tech/2017/06/22/acm-manual-update/
https://blog.serverworks.co.jp/tech/2017/04/05/acm-renewal/