本記事は App Service 証明書の自動更新に伴うドメイン検証 (有効期間 395 日) 作業の必要について の更新版です。
2026 年 3 月より、CA/Browser フォーラム (SC-081v3) の業界要件に準拠するため、以下の変更が適用されました。
- ドメイン検証の有効期間が 198 日に短縮されました。これにより、App Service 証明書の自動更新をオンにしていても、概ね年 2 回程度のドメイン検証が必要となります。
- 証明書の有効期間が 198 日未満に短縮されました。ただし、Azure App Service が重複する証明書を追加コストなしで自動的に発行するため、1 年間の証明書カバレッジは維持されます。
- 2026 年 3 月より前に完了したドメイン検証は再利用できません。 2026 年 3 月以降の証明書の発行・更新には、新たにドメイン所有権の検証が必要です。
この記事では、App Service 証明書を継続的に利用される際に必要な “更新” と “検証” 作業の方法およびそれらを実施いただける期間についてご紹介します。
- 実施いただく必要がある作業
- 背景
- 想定される事象
- App Service 証明書の更新およびドメイン検証を実施できる期間の例
- 2026 年 3 月以降の運用上の注意事項
- Appendix : 検証方法について
- 参考ドキュメント
実施いただく必要がある作業
App Service 証明書の更新時、前回のドメイン検証の有効期間 (198 日) を過ぎていた場合、お客さまにて再度ドメイン検証を行っていただく必要があります。
重要: 2026 年 3 月より前に完了したドメイン検証は再利用できません。2026 年 3 月以降に証明書の発行・更新・キー更新を行う場合は、新たにドメイン検証を完了する必要があります。
ドメインの再検証は、前回のドメイン検証を行った日の 198 日後 から行うことができます。
そのため、”前回のドメイン検証の 198 日後” から “App Service 証明書の更新作業” までの間にドメイン検証を行う必要があります。
背景
< 更新 >
App Service 証明書を利用する場合、App Service 証明書の有効期限は既定で 1 年となっています。App Service 証明書は自動更新による機能、または手動で更新することができます。
2026 年 3 月以降、CA/Browser フォーラムの業界要件に準拠するため、App Service 証明書は有効期間が 198 日未満で発行されるようになりました。 1 年間の証明書カバレッジを維持するために、Azure App Service は重複する証明書を追加コストなしで自動的に発行します。App Service 証明書が Azure App Service 内でのみ使用されている場合、アクションは必要ありません。
今後、CA/Browser フォーラムの業界要件に基づき、証明書の最大有効期間は今後さらに短縮される可能性はございますが、現時点では特に予定は決まっておりません。詳細が決まりましたら参考ドキュメントなどに記載の、弊社公式ドキュメントにて案内させていただきます。
なお、App Service 証明書には以下の 2 つの期限が存在する点にご注意ください。
| ポータル上の項目 | 対象 | 期限 |
|---|---|---|
| End of purchased period | App Service 証明書リソース (Azure リソース) としての有効期限 (課金単位) | 1 年 |
| Validity Period | 実際の TLS 通信に使用される証明書の有効期限 | 198 日 (2026 年 3 月以降) |
内部で利用される証明書 (実際の TLS 通信に使用される証明書) が業界要件に準拠するために 198 日の有効期限となりますが、App Service 証明書の Azure リソースとしての有効期限 (課金単位) は従来通り 1 年です。
< ドメイン検証 >
App Service 証明書の発行時において、証明するドメインの所有権を検証するためにドメイン検証を行う必要があります。
また、App Service 証明書を更新する際にも、検証の有効期間 (198日) を過ぎていた場合には再度ドメイン検証が必要となります。
App Service 証明書のドメイン検証は自動化されていないため、定期的にドメイン検証を行う必要があります。ドメイン検証の方法については Appendix にてご紹介します。
ドメイン検証の有効期限の確認について: ドメイン検証の有効期限 (何日にドメイン検証期限が満了するか) は Azure ポータル上では直接確認することができません。ただし、ドメイン検証が必要になった際に通知を受け取ることは可能です。詳細は Azure Advisor を利用した App Service 証明書の通知 をご参照ください。
想定される事象
ドメインが検証されていない状態では、App Service 証明書の [概要] ブレードにおいて証明書の状態が “発行の保留中” と表示され、更新が保留されます。
この場合、更新時もしくは更新前にお客さまにてドメイン検証を行う必要があります。
注意: ドメイン検証を完了しないと、証明書の発行または更新が失敗し、証明書の有効期限が切れ、サービスが中断される可能性があります。
ただし、ドメイン検証の有効期限が切れただけでは、即座にサービスに影響することはありません。 証明書の自動更新試行時にドメイン検証が未完了の場合に更新が保留されます。更新は継続して試行されるため、証明書の有効期限内にドメイン検証を完了すれば更新が実行されます。
App Service 証明書の更新およびドメイン検証を実施できる期間の例
2026 年 3 月以降の動作として、App Service 証明書の更新およびドメイン検証を実施できる期間について、以下の図で具体例を示します。
- App Service 証明書の購入 : 2026 年 4 月 1 日
- App Service 証明書の購入時、ドメイン検証が必要となります。
- 初回証明書が発行されます (有効期間 最大 198 日) 。
- 重複証明書の自動発行 : 2026 年 9 月頃
- 初回証明書の有効期限前に、Azure App Service が重複する証明書を自動的に発行します。
- 2026 年 9 月時点では、購入時に行ったドメイン検証から約 167 日であり、検証の有効期間 (198 日) 内であるため、ドメイン検証を行う必要はありません。
- 重複証明書が発行されることで、1 年間の証明書カバレッジが維持されます。
- ドメイン検証の有効期間の終了 : 2026 年 10 月 16 日頃
- ドメイン検証を購入時に行ってから 198 日が経過したため、ドメイン検証の有効期間が終了します。
- 2026 年 10 月 16 日から次の重複証明書発行時までの間に、以下のキー更新の手順でドメイン検証を行うことも出来ます。
- Azure Portal 上 App Service 証明書の「キー更新と同期」メニューから「キー更新」をクリックしてキー更新を実行します。
- App Service 証明書の「証明書の構成」メニューよりドメイン検証用のトークンが新しく発行されるか確認します。新しいトークンを確認できましたら、ドメイン検証作業は、App Service 証明書を購入時のドメイン検証と同じ作業となります。
- 次の証明書発行時 : 2027 年 3 月頃
- Azure App Service が次の証明書の発行を試行します。
- 購入時のドメイン検証から 198 日を超過しているため、ドメインが検証されていない状態となり更新が保留されます。
- この場合、お客さまにてドメイン検証を行っていただくことで証明書の発行が再開されます。ドメイン検証作業は、App Service 証明書を購入時のドメイン検証と同じ作業となり、App Service 証明書の「証明書の構成」メニューから実施できます。
- ドメイン検証の実施後
- ドメイン再検証が完了すると、新たに 198 日間ドメイン検証が有効となります。
- 以降も同様に、198 日間の有効期間が過ぎた後の証明書発行時には、再度ドメイン検証が必要となります。
2026 年 3 月以降の運用上の注意事項
< 自動更新を ON にしている場合の動作 >
| 状態 | 内容 |
|---|---|
| 証明書の更新開始時の動作 | 証明書の有効期限の 32 日前になると更新が試行される |
| 証明書の更新保留時の動作 | 32 日前のタイミングでドメイン検証が未完了の場合、更新は保留されるが継続して試行されるため、有効期限内にドメイン検証を完了すれば更新が実行される |
| 更新期限切れ時の動作 | ドメイン検証が証明書の有効期限内に完了しなかった場合、証明書が失効する (ドメイン検証の有効期限が切れただけでは、即座にサービスに影響しません) |
< 自動更新を OFF にしている場合の動作 >
| 状況 | 動作 |
|---|---|
| App Service 証明書の期限内の場合 | 重複する証明書 (オーバーラップ) は自動的に発行される。購入済みの App Service 証明書としての期間をカバーするため |
| 重複証明書の発行時にドメイン検証期間が失効している場合 | ドメイン検証を完了する必要がある |
| 重複証明書の期限が切れた場合 | 新しい 1 年分の証明書は発行・課金されない |
| 翌年も App Service 証明書を利用したい場合 | 手動更新が必要。手動更新により次の 1 年間が延長される |
< 証明書のエクスポートについて >
App Service 証明書を Azure App Service の外部でエクスポートして使用している場合、証明書の有効期間が 198 日未満に短縮されたため、証明書の再エクスポートがより頻繁に必要となります。
App Service 証明書が Azure App Service 内でのみ使用されている場合、プラットフォームが証明書を自動的に同期して更新するため、エクスポートに関するアクションは必要ありません。
< その他の注意事項 >
その他の注意事項については以下の公式ドキュメントをご参照ください。
< 補足 >
ドメイン検証の確認が必要となる場合、以下のようにメールの通知が届きます。
Appendix : 検証方法について
ドメイン検証の手法については上記資料において紹介されていますが、詳細な内容については実際に検証を行わなければ確認することができません。そのため、付録としてドメイン検証の方法についてご紹介します。
ドメイン検証方法は、< App Service > < ドメイン > < メール > < 手動 >の 4 種類がサポートされています。ここで、<手動> は 2 通りの方法があります。
ドメイン検証では、App Service 証明書発行機関から発行されたトークン値をもとに検証が行われます。
このトークン値は、ドメイン検証の度に新たに発行される値となるため、過去のトークン値は不要となります。
< App Service >
該当ドメインが既に同一のサブスクリプション内の App Service で使用されている場合、 Azure Portal 上で [確認] を選択することで手動 (2. HTML Web ページ) の手順が自動化されドメイン所有権の検証が実施されます。
< ドメイン >
該当ドメインが Azure で購入した App Service ドメインの場合、Azure Portal 上で [確認] を選択することで手動 (1. DNS TXT レコード) の手順が自動化されドメイン所有権の検証が実施されます。
< メール >
該当ドメインを使用する以下メールアドレスにメールが送信されます。受信したメール内のリンクをクリックすることでドメイン所有権の検証が実施されます。
なお、メールアドレスを任意のアドレスとすることは叶いません。
- administrator@<該当ドメイン>
- hostmaster@<該当ドメイン>
- admin@<該当ドメイン>
- webmaster@<該当ドメイン>
- postmaster@<該当ドメイン>
< 手動 (1. DNS TXT レコード) >
DNS サーバーの該当ドメインに対して、以下の DNS TXT レコードを追加することでドメイン所有権の検証が実施されます。
- 名前 : @
- 種類 : TXT レコード
- 値 : ドメイン検証トークン
< 手動 (2. HTML Web ページ) >
ドメイン検証トークンを記載した HTML ファイルを作成し、 該当ドメインの所定のパスに配置します。このファイルをインターネットから参照できるようにすることで、ドメイン所有権の検証が実施されます。具体的な配置先ファイル名は Azure Portal の「証明書の構成」メニューに表示されます。
参考ドキュメント
2026 年 4 月 22 日時点の内容となります。
本記事の内容は予告なく変更される場合がございますので予めご了承ください。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。