App Service 証明書の自動更新に伴うドメイン検証 (有効期間 395 日) 作業の必要について

6 minute read

2021 年 9 月 23 日より、 App Service 証明書では過去 395 日以内にドメイン検証を行っていない場合、App Service 証明書の更新の際にドメイン検証が必要となりました。

これにより、App Service 証明書の自動更新をオンにしていても、定期的にお客様にてドメインの検証作業を行っていいただく必要があります。

この記事では、App Service 証明書を継続的に利用される際に必要な “更新” と “検証” 作業の方法およびそれらを実施いただける期間についてご紹介します。


目次


実施いただく必要がある作業

App Service 証明書の更新時、前回のドメイン検証の有効期間 (395 日) を過ぎていた場合、お客さまにて再度ドメイン検証を行っていただく必要があります。

また、ドメインの再検証は前回のドメイン検証を行った日の 395 日後から行うことができます。

そのため、”前回のドメイン検証の 395 日後” から “App Service 証明書の更新作業” までの間にドメイン検証を行う必要があります。

cert-overview-3b9ad604-3561-4b81-bf23-255c4ea2c757.png


背景

< 更新 >

App Service 証明書を利用する場合、App Service 証明書の有効期限は既定で 1 年となっています。App Service 証明書は自動更新による機能、または手動で更新することができます。

証明書の設定で自動更新をオンにしている場合、証明書の有効期限の 31 日前から自動で更新が試行されます。手動で更新する場合には、有効期限の 60 日前から更新を要求することができます。

ただし、App Service 証明書の更新時にはドメインが検証されている状態である必要があります。自動更新がオンの場合においても、ドメインが検証されていない状態では後述するドメイン検証を行う必要があります。


< ドメイン検証 >

App Service 証明書の発行時において、証明するドメインの所有権を検証するためにドメイン検証を行う必要があります。

また、App Service 証明書を更新する際にも、検証の有効期間 (395 日) を過ぎていた場合には再度ドメイン検証が必要となります。

App Service 証明書のドメイン検証は自動化されていないため、定期的にドメイン検証を行う必要があります。ドメイン検証の方法については Appendix にてご紹介します。


想定される事象

ドメインが検証されていない状態では、App Service 証明書の [概要] ブレードにおいて証明書の状態が “発行の保留中” と表示され、更新が保留されます。

この場合、更新時もしくは更新前にお客さまにてドメイン検証を行う必要があります。


cert-screenshot-45351a08-79e0-475f-b78d-c229a1889a29.png


App Service 証明書の更新およびドメイン検証を実施できる期間の例

App Service 証明書の更新およびドメイン検証を実施できる期間について、以下の図で具体例を示します。


cert-example-35b212f6-e600-494a-adca-597fab4c6380.png


  • App Service 証明書の発行 : 2022 年 4 月 1 日
    • App Service 証明書の発行時、ドメイン検証が必要となります。


  • 1 年目の自動更新 : 2023 年 3 月 1 日
    • App Service 証明書の有効期限は 1 年であるため、2022 年 4 月 1 日に発行した証明書の有効期限は 2023 年 4 月 1 日となります。
    • 自動更新をオンにしていた場合、有効期限の 31 日前 (2023 年 3 月 1 日) に自動で更新が試行されます。
    • 2023 年 3 月 1 日時点では、発行時に行ったドメイン検証の有効期間内であるため、ドメイン検証を行う必要はありません。
    • 自動更新が成功した場合、元の有効期限より 1 年延長されます。そのため次の有効期限は 2024 年 4 月 1 日となります。


  • ドメイン検証の有効期間の終了 : 2023 年 5 月 2 日
    • ドメイン検証を発行時に行ってから 395 日が経過したため、 2023 年 5 月 2 日にドメイン検証の有効期間が終了します。
    • 2023 年 5 月 2 日から証明書の2年目の自動更新までの間に、再度ドメイン検証を行う場合、以下のキー更新の手順でドメイン検証を行うことが出来ます。
       1. Azure Portal 上 App Service 証明書の「キー更新と同期」メニューから「キー更新」をクリックしてキー更新を実行します。
       2. App Service 証明書の「証明書の構成」メニューよりドメイン検証用のトークンが新しく発行されるか確認します。新しいトークンを確認できましたら、ドメイン検証作業は、App Service 証明書を発行時のドメイン検証と同じ作業となります。


  • 2 年目の自動更新 : 2024 年 3 月 1 日
    • 1 年目の自動更新と同様に、2024 年 3 月 1 日に自動更新が試行されます。
    • 2023 年 5 月 2 日から証明書の2年目の自動更新までの間に、ドメイン検証を行っていた場合、App Service 証明書の自動更新が行われます。
    • 一方で、2023 年 5 月 2 日から証明書の2年目の自動更新までの間に、ドメイン検証を行っていない場合、ドメインが検証されていない状態のため更新が保留されます。
      • この場合、ドメイン検証を行っていただくことで更新が再開されます。ドメイン検証作業は、App Service 証明書を発行時のドメイン検証と同じ作業となり、App Service 証明書の「証明書の構成」メニューから実施できます。


  • 3 年目以降の自動更新
    • 2 年目の自動更新と同様に、更新時にドメイン検証の有効期間が過ぎていた場合、お客さまにて再度ドメイン検証を行う必要があります。


<補足>
ドメイン検証の確認が必要となる場合、以下のようにメールの通知が届きます。

domain_verification_notify_email-42ff211b-e085-4a11-9794-901a39f2a637.jpg


<参考ドキュメント>

Azure App Service で TLS/SSL 証明書を追加および管理する

Appendix : 検証方法について

ドメイン検証の手法については上記資料において紹介されていますが、詳細な内容については実際に検証を行わなければ確認することができません。そのため、付録としてドメイン検証の方法についてご紹介します。

ドメイン検証方法は、< App Service > < ドメイン > < メール > < 手動 >の 4 種類がサポートされています。ここで、<手動> は 2 通りの方法があります。

ドメイン検証では、App Service 証明書発行機関である GoDaddy から発行されたトークン値をもとに検証が行われます。 このトークン値は、ドメイン検証の度に新たに発行される値となるため、過去のトークン値は不要となります。

< App Service >

該当ドメインが既に同一のサブスクリプション内の App Service で使用されている場合、 Azure Portal 上で [確認] を選択することで手動 (2. HTML Web ページ) の手順が自動化されドメイン所有権の検証が実施されます。


cert1-80aa9dcd-10f0-455a-871c-eb8f332f4973.png


< ドメイン >

該当ドメインが Azure で購入した App Service ドメインの場合、Azure Portal 上で [確認] を選択することで手動 (1. DNS TXT レコード) の手順が自動化されドメイン所有権の検証が実施されます。


cert2-e6c466c0-2508-4f35-8385-a26d3dc991fe.png


< メール >

該当ドメインを使用する以下メールアドレスにメールが送信されます。受信したメール内のリンクをクリックすることでドメイン所有権の検証が実施されます。 なお、メールアドレスを任意のアドレスとすることは叶いません。

  • administrator@<該当ドメイン>
  • hostmaster@<該当ドメイン>
  • admin@<該当ドメイン>
  • webmaster@<該当ドメイン>
  • postmaster@<該当ドメイン>


cert3-0ced120e-0b5b-477c-9a4f-7c38f1775b67.png


< 手動 (1. DNS TXT レコード) >

DNS サーバーの該当ドメインに対して、以下の DNS TXT レコードを追加することでドメイン所有権の検証が実施されます。

  • 名前 : @
  • 種類 : TXT レコード
  • 値 : ドメイン検証トークン


cert4-de8e3e20-7e38-4ef7-96b8-c14398016b0a.png


< 手動 (2. HTML Web ページ) >

ドメイン検証トークンを記載した godaddy.html ファイルを作成し、 http://<ドメイン>/.well-known/pki-validation/godaddy.html に配置します。このファイルをインターネットから参照できるようにすることで、ドメイン所有権の検証が実施されます。


cert5-7c0156eb-d21d-4913-8ff0-f809ba72db2f.png







2024 年 12 月 13 日時点の内容となります。
本記事の内容は予告なく変更される場合がございますので予めご了承ください。