AWS Certificate Managerの自動更新に失敗??
弥生でAWS関連のインフラをやりつつ、
たまにJavaのコーディングもしているセキトウ(@relaxteatime)です。
弥生では、API通信部分や開発環境のAWS利用部分については、
AWS Certificate Manager(簡単に SSL/TLS 証明書を作成、管理、配置) | AWSを利用させていただいています。
証明書の自動更新の注意点にある、「失敗した場合」を体験したので 実際に行ったことを記載してみました。
何故自動更新に失敗したのか?
弥生はACMを利用する際、1つ1つ証明書を発行するのは大変なので、*.yayoi-kk.co.jpというワイルドカード証明書を利用しています。
適用先は、ELB/CloudFrontです。
ELB配下には、EC2が存在しておりIPアドレス制限をしてます。
ワイルドカード証明書であり、IPアドレス制限を利用している。
たぶん両方が原因なんだと思っています。
更新前の状態
下記の通り、更新ステータスが検証保留中になってます。
ただ、ここで問題が。
公式マニュアルをみると、メールが飛んでくるはずだったのですが、メールが飛んでこない。
AWS CLIなどでも試したのですが、ダメ。
やばい。どうしよう。
困った時は、サポートを有効活用しましょう。
- 順次メールなどを送信する
- AWS CLIなどで状態は確認できない。サポートで調べることができる
という内容でした。
まずは、一安心ですが、まだ証明書が更新されたわけではないので、ドキドキな毎日。
なお、弥生は AWSビジネスサポートにちゃんと入ってます。
aws.amazon.com
無事メールが到着
AWSアカウントのメールアドレスに"Action Required - Your cetificate renewal"というタイトルのメールが飛んできました。
中身的には、証明書更新の為のメールをwebmasterやadministratorのドメインメールに送ったから確認してね。
という内容。
webmasterやadministrator向けには、"Cetificate renewal for ドメイン名 requires approval"というタイトルでメールが飛んできてます。
後は、本文のリンクを踏むだけ。
いざ更新
下記図の通り、無事更新された。 よかったよかった。
なお、実際にメールのリンクを踏んで更新されるまで、1時間ぐらいかかりました。
今までなら、定期的にcurlなどを使って確認していたかもしれません。
ただ、現在弊社では、Mackerelを導入しています。
MackerelのURL監視では、なんと証明書の有効期限までチェックしてくれるすごい機能があります。
その為、後はいつ更新されるかな?とコーヒーを飲みつつノンビリです。
結果、1時間後に以下の通りOKが帰ってきました。
結論
ACMはやっぱり便利です。
ただ、自動で有効期限が更新されないこともあるので気を付けましょう。
気をつけろって言われても・・・
と思われる人は、MackerelのURL監視をぜひ導入してみてはいかがでしょうか?