証明書の自動更新

Prev Next

Classic/VPC環境で利用できます。

Certificate Managerで発行された証明書を有効期限が切れる前に自動的に更新します。
更新完了時に使用中の連携サービスインスタンスにも更新された証明書が自動的に適用されます。
自動更新条件が満たされた証明書に対して、認証終了日の45日前(更新開始日)から30日前(更新終了日)まで毎日更新を試みます。

自動更新対象

  • DNS検証方式で発行された証明書に限り提供します。
  • (2024年10月17日現在) Cloud Basic証明書に限り提供します。
  • (2024年10月17日現在) VPC Load Balancerのみ使用中の証明書に限り提供します。

自動更新のシナリオ

1.更新条件の事前検討

更新したい証明書が自動更新条件を満たしているか確認します。

  • NAVERクラウドプラットフォームコンソールで、i_menu > Services > Security > Certificate Manager > Certificate Listメニューを順にクリックし、更新したい証明書を選択します。
  • 証明書更新情報で更新資格適格有無を確認します。更新資格が不適格な場合は、本ガイドの 更新資格 で不適格理由を確認します。
  • 証明書更新情報で更新対象に設定されているか確認します。更新対象が「Y」である必要があり、「N」の場合は更新対象設定ボタンをクリックして更新対象に設定します。
  • 更新資格が適格で更新対象に設定された証明書には、更新開始日更新終了日が表示されます。

2.ドメインの DNS検証設定

  • 証明書に含まれるすべてのドメインに対して、DNS検証時に要求された CNAME DNS Record name、Record Valueが設定されているか確認します。設定方法は、 DNS検証 のドキュメントをご参照ください。
注意

2024年7月23日の改善タスク前に申し込んで発行された証明書は、初回更新タスク時に Record Name、Record Valueが1回変更され、その後固定されます。変更された Record Name、Record Valueに必ずリセットすることで、DNS検証が正常に成功します。今後、特定のドメインの DNS検証入力値が固定されるため、リセットした DNSレコードを維持することで更新、新規発行時に自動的に DNS検証が正常に成功します。

3.更新タスク

自動更新条件が満たされたら、**認証終了日の45日前(更新開始日)から30日前(更新終了日)**まで毎日更新を試みます。

  • 毎日01:00(UTC+09:00)から約1時間更新タスクを実行します。更新が完了したり、終了日になるとタスクが停止します。
  • 更新タスクが終了すると、更新結果は Certificate Managerコンソールで確認できます。また、Notification Settingに設定された通知対象に送信されます。
    • 更新完了時、更新ステータスが成功の場合、更新完了日が表示されます。**インスタンス更新状況 > ショートカット > 証明書更新の有無(Y/N)**が Yで表示されます。

更新対象設定

更新対象有無を選択できます。Certificate List > (証明書選択)証明書更新情報 > 更新対象設定ボタンをクリックして設定します。

  • 設定 - 更新対象有無「Y」: 使用中の VPC Load Balancerインスタンスがある場合、証明書の有効期限の45日前から30日前まで証明書の自動更新を行います。
  • 未設定 - 更新対象有無「N」: 更新対象から除外されます。更新資格が適格であり、認証終了日の45日前が到来しても更新タスクは行われません。
参考

証明書発行時に DNS検証方法を選択すると、「3.検討とリクエストステップ」で自動更新対象を事前に設定できます。

更新資格

更新資格は、Certificate List > (証明書選択)証明書更新情報で確認できます。

タイプ 説明 条件
適格 更新資格が適格で更新対象に設定された証明書は、認証終了日の45日前から30日前まで自動更新を試みます。
  • ひたすら VPC Load Balancerでのみ使用中であり
  • 残存有効期間が30日を超過している証明書
    		•
    不適格 更新資格が不適格の証明書は自動更新できません。
  • 使用中でないか、VPC Load Balancer以外の連携サービスで使用中、または
  • 残存有効期間が30日以下の証明書
    		•

    更新ステータス

    更新ステータスは、Certificate List > (証明書選択)証明書更新情報で確認できます。

    更新ステータス 説明
    更新中 更新条件を満たし、更新タスクが進行中のステータス
    DNS検証保留 証明書に含まれるドメインのうち、少なくとも1つ以上のドメインの DNS検証が進行中のステータス。翌日更新タスクが開始されると、DNS検証から再試行。更新終了日まで DNS検証に成功できない場合、更新失敗
    更新保留 認証終了日の45日前から更新対象証明書が使用中のインスタンスがないと更新保留ステータス。認証終了日30日前まで使用中の証明書がないと更新失敗
    成功 証明書が更新されて、使用中の連携インスタンスにも更新された証明書が自動的に適用されたステータス
    失敗 更新に失敗したステータス。これ以上更新タスクが試行されない。使用中のインスタンスがあり、証明書のローテーションが必要な場合は、新しい証明書を発行して適用する必要がある。更新失敗の原因は次の3つを参照
  • 更新終了日を超過
  • 使用中のインスタンスなし
  • 証明書データの検証エラー