AppService証明書の自動更新についての注意点!!
概要
AppService証明書自体は自動更新設定をすることが可能ですが、ドメインの名前解決先をお名前.comやRoute53などをドメインの名前解決先にしている場合、例えば"aaa.com"のTXTレコードの値をお名前.comやRoute53などで手動で更新する必要があります。
状況
-
簡単に構成は下の図となります。名前解決先はAWS Route53です。
-
AppService証明書をAzure Key Vaultに格納することを事前に実施しておいてください。(手順は下記URL参照。手順の詳細は当記事では割愛します。)
https://learn.microsoft.com/ja-jp/azure/app-service/configure-ssl-app-service-certificate?tabs=portal#store-certificate-in-azure-key-vault -
格納に成功すればこの表示になります。
-
既にAppService証明書の自動更新はしている状態にしていて、「必要なドメインを発行します」と「証明書の状態」が「発行の保留中」、有効期限も変わっていない状況です。
-
[設定] > [証明書の構成] で「手順 2: 確認」にチェックが入っていないことを確認する。
-
「手順 2: 確認」をクリックして、「ドメイン確認トークン」を確認する。「ドメイン確認トークン」がAWS Route53に登録する"aaa.com"のTXTレコードとなります。
AWSのレコード編集
-
「ドメイン確認トークン」をメモ帳等にコピペしておきましょう。
-
AWSのレコードの編集は下記参照。当記事では詳細は割愛します。
https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/resource-record-sets-editing.html
TXTレコード更新後の確認
-
少し時間がかかりますが、「証明書の状態」が「発行済み」、有効期限が更新されていることを確認する。
-
[設定] > [証明書の構成] も確認し、全ての項目にチェックが入っていることを確認する。これでAppService証明書の更新はされました。
まとめ
繰り返しになります。AppService証明書自体は自動更新設定をすることが可能ですが、ドメインの名前解決先をお名前.comやRoute53などをドメインの名前解決先にしている場合、例えば"aaa.com"のTXTレコードの値をお名前.comやRoute53などで手動で更新する必要があることに注意してください。
Discussion