質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

Amazon Route 53

Amazon Route 53 はAmazonが提供する、 可用性と拡張性に優れた ドメインネームシステム(DNS)サービスです。

AWS(Amazon Web Services)

Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

Q&A

解決済

2回答

1148閲覧

AWS Certificate Managerで2回目の証明書リクエストが承認されない

black_ay

総合スコア16

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

Amazon Route 53

Amazon Route 53 はAmazonが提供する、 可用性と拡張性に優れた ドメインネームシステム(DNS)サービスです。

AWS(Amazon Web Services)

Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

0グッド

1クリップ

投稿2021/11/27 07:47

編集2021/12/05 03:52

AWSのみでWordpressを構築しています。

まずはhttpでインターネット→(セキュリティグループ)→ALB→(セキュリティグループ)→EC2インスタンスという通信ができるところまで作成しました。
そのあと、SSL化するために

・Route53でドメインを取得
・EC2インスタンスに固定IPをアタッチ
・ACMで上記ドメインの証明書を発行

ここまで行い、この時の証明書はすぐに認証され、ALBのインバウンドルールにも適用できる状態となりました。
しかしRoute53でホストゾーンやレコードを登録するのが初めてで手こずり、httpsでの通信も成功しませんでした。
今思うとレコード登録にミスがあったと思うのですが、証明書作成でミスってしまったと思い込んで、証明書(およびその際自動作成されたホストゾーン&レコード)をすべて削除してしまいました。。。

それから数時間後にもう一度同じドメインで証明書をリクエストしたところ、2日間ずっと保留中となっています。1度目はすぐに検証済みになって使えたので、削除してしまったのがまずいと思っていますが、時間をおけば解消する(再びリクエストが通るようになる)のかもわかりません。

理想のアーキテクチャは、EC2(のセキュリティグループ)はALB(のセキュリティグループ)からのhttpリクエストのみを受け付け、インターネットとは必ずALBを経由してhttps通信することです。


気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yu_1985

2021/11/29 05:14

DNS検証の設定はちゃんと同様に行ったんでしょうか。 また、ホストゾーンは消したままですか? ホストゾーンを消したらレコードが消えてしまうのでDNS検証はどうやっても成功しませんが…。
black_ay

2021/11/29 10:38

2回目の証明書リクエストの直前に、自分がRoute53で購入したドメインのホストゾーン(レコードなし)を作成していました。証明書リクエストによってデフォルトで2つレコードが作られるのと、証明書リクエスト直後に「レコードを作成」というボタンがあるのでそれを押して、レコードは3つ登録されていました。さらにAレコード(値はEC2の固定IP)を手動で書き加え4レコードある状態で、本質問をいたしました。 現在は検証のタイムアウトで戻ってきてしまいました。ここに書いたレコード作成手順が間違っていたのでしょうか。
yu_1985

2021/11/29 17:53

設定内容がわからないので何も言えません。 本当にちゃんと登録したドメインでホストゾーンを作成し、レコードを登録したのでしょうか。 すべてが自己申告なので何もわかりません。 可能な限り実際の具体的な設定を書いてください(実際のドメインはマスクしても構いませんが…。) ドメイン検証は時間がかかる場合もたまにありますが、多くの場合時間がかかるのは設定ミスが原因です。 ちなみに、接続がうまく行かなかった原因はAレコードにIPを登録しているからで、ALBを経由したいならALBのエンドポイントを登録してください。
guest

回答2

0

自己解決

証明書のリクエストが通らなかった理由は、リクエスト後に表示される「レコードを作成」からではCNAMEレコードを作成できていなかったからです。
それはCNAMEレコードが同じレコード名のものと被ってしまう状態だった(ホストゾーン内に既に登録されているレコード名と同じ名前を登録しようとしたからはじかれた)からです。

これを防ぐためにはドメイン名の前に*か何かを入れて、レコード名がかぶらないようにしてCNAMEレコードを手動作成します。こうすれば数分でリクエストが承認されました。

投稿2022/01/10 08:50

black_ay

総合スコア16

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

ACMも最近マネコンのデザイン変わって使いにくくなりましたね。。。

対象の証明書のドメインの CNAME をコピーして、

dig CNAMEのURL txt

とかやってみましょう。
正しく結果が返ってくるなら待てばいけるはずです。

正しい結果が返ってこない(ANSWERがない)なら DNS がダメかもしれません。
ホストゾーンも削除したとありますが、その場合 Route53 のゾーンが変わってしまっている可能性があります。

dig 使っているドメイン soa

とかやってみましょう。
Route53でドメインを取得しているならaws系ドメインのNSサーバが4台リストされるはずです。
ドメインの取得を外部で行っているなら(お名前.comとか使っているなら)そっちがリストされるかもしれません。
いずれにしても、ドメインを引いて、正しいゾーンを見ているかを確認するといいでしょう。

投稿2021/11/27 13:35

_raki

総合スコア82

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

black_ay

2021/11/29 10:41

最初のご回答本当にありがとうございます。 今、digコマンドにトライしてみようとしたら証明書は検証タイムアウトとなってしまっていました。。。 また証明書をリクエストしてみるしか無いと思いますが、レコードの設定がおかしかったのでしょうか? 他の方からの「質問への追記依頼」に、レコード作成方法を書きましたので、お手数ですがご指摘をいただければ助かります。
_raki

2021/11/29 12:13

正確な情報が何一つ出てないのに設定がおかしいかどうかはわからないですね。。。 まずやってみてって書いたことをちゃんとやって記録を出さない限り何も伝わらないしわかるわけがない。。。
black_ay

2021/11/30 12:39

申し訳ございません。 タイムアウトしたのに今更digしたって意味が無いと呆れられてしまうと思い載せませんでした。。。 以下は、2回目のリクエストがタイムアウトしてから何も設定をいじらずに、教えていただいたコマンドを実行した結果です。 [ユーザ名]$ dig route53で購入したドメイン.com soa ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> route53で購入したドメイン.com soa ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 8966 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;route53で購入したドメインcom. IN SOA ;; Query time: 194 msec ;; SERVER: 10.0.0.2#53(10.0.0.2) ;; WHEN: Tue Nov 30 12:21:55 UTC 2021 ;; MSG SIZE rcvd: 45 [ユーザ名]$ dig xxxxxxxxxxxxxxxxxxxx.acm-xxxxxxxx.aws.txt ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> xxxxxxxxxxxxxxxxxxxx.acm-xxxxxxxx.aws.txt ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 47247 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;xxxxxxxxxxxxxxxxxxxx.acm-xxxxxxxx.aws.txt. IN A ;; AUTHORITY SECTION: . 562 IN SOA a.root-servers.net. nstld.verisi gn-grs.com. 2021113000 1800 900 604800 86400 ;; Query time: 4 msec ;; SERVER: 10.0.0.2#53(10.0.0.2) ;; WHEN: Tue Nov 30 12:23:11 UTC 2021 ;; MSG SIZE rcvd: 172 ______________________________________ Got answerとあるので、”正しく結果が返ってくる”に当てはまる状態だったのかなと思います。 しかし、NSレコードにある4台のNSサーバがリストアップされていないように見えます。(ホストゾーンのスクリーンショットを載せました)
_raki

2021/11/30 13:18

最初の1つ以外あってないですね。。。 ``` dig route53で購入したドメイン.com soa +short dig route53で購入したドメイン.com txt +short ``` で両方とも正しい答えが返ってこないなら動かないです。 (最初のsoaに値が入ってないので後のtxtも空のはず。acmのドメインのdigには意味がない) soa のほうには ns-711 が返ってこないとダメなはずです。 acm の検証に使うのは ``` dig _afdなんちゃら購入したドメイン `` の結果で返ってくる cname の値(_87fdなんちゃら)ですが、そもそも soa が取れてないのでたぶんダメです。 ACMの画面でドメインブロックのCNAME名とCNAME値がこれらの値になっているはず。 - ドメインを購入したのはどこか(R53で購入もやったのか別のレジストラで買ったのか) - 最初の質問にあるとおり最初のホストゾーンは本当にゾーンごと消したのか(画像ではったゾーンは別のホストゾーンなのか) - その場合ゾーンの再作成はどうやったのか を整理しないとダメかも。 R53でドメインの購入をしてゾーンが作成されたのにそのゾーンを消してしまっているとしたら、ただしい再作成はAWSサポート経由だったかも? AWSはドメイン購入後の処理が他に比べてブラックボックスなので。。。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問