[Q]
App Service 証明書の自動更新を設定しておいたのに、有効期限が切れてしまいました。手動更新もできない状態です。どのように対処すれば良いでしょうか?
[A]
ドメインの所有権の検証がされていない可能性があります。
App Service 証明書の発行時に、その証明書によって保護されるドメインの保持について検証を行いますが、同じことが証明書の自動更新の際にも行われます。
2021 年 9 月 23 日以降は、最後に検証を行った日付から 395 日以上経過している場合は、再度ドメイン所有権の検証が必要とされます。
ドメイン所有権の検証は、App Service 証明書の自動更新機能によって自動で行われる範囲には含まれていないため、DNS レコードの追加等の対応が必要となります。
ドメイン所有者の検証については、証明書サービスの提供元である GoDaddy 社からドメインの管理者宛にご案内メールが送信されます。なお、メールの宛先 (対象ドメインの admin、administrator、hostmaster、postmaster、webmaster) は公開情報に記載されているとおりですが、それらを変更することはできません。そのため、それらのメールアドレスでメールを受信できるように、メール サーバーを構築して管理していただく必要があります。
App Service 証明書のドメインの所有権の検証の手順については、下記参考情報をご確認ください。
メールによる方法と DNS ゾーンへ TXT レコードを追加する方法が、比較的簡易な操作で検証が可能となっております。
[参考情報]
Azure App Service で TLS/SSL 証明書を追加する
https://docs.microsoft.com/ja-jp/azure/app-service/configure-ssl-certificate#renew-an-app-service-certificate
App Service 証明書を更新する
<抜粋>
2021 年 9 月 23 日以降、App Service 証明書では、395 日おきにドメイン検証が必要になります。 これは、CA/ブラウザー フォーラムによって、証明機関が準拠する必要がある新しいガイドラインが適用されたためです。
App Service マネージド証明書とは異なり、App Service 証明書のドメイン再検証は自動化されません。
Azure App Service で TLS/SSL 証明書を追加する
https://docs.microsoft.com/ja-jp/azure/app-service/configure-ssl-certificate#verify-domain-ownership
ドメインの所有権を検証する
<抜粋>
4 種類のドメイン検証方法がサポートされています。
- App Service - ドメインが同一のサブスクリプション内で既に App Service アプリにマップされている場合に最も便利なオプションです。 この方法は、App Service アプリがドメインの所有権を既に確認済みである事実を利用しています。
- ドメイン - Azure から購入した App Service ドメインを確認します。 Azure は確認 TXT レコードを自動的に追加し、プロセスを完了します。
- メール - ドメイン管理者に電子メールを送信することによってドメインを確認します。 手順は、オプションを選択したときに提供されます。
- 手動 - HTML ページ (標準 証明書のみ) または DNS TXT レコードを使用してドメインを確認します。 手順は、オプションを選択したときに提供されます。 HTML ページ オプションは、[HTTPS のみ] が有効になっている Web アプリでは機能しません。
SSL証明書 ヘルプ
https://jp.godaddy.com/help/verify-my-domain-control-and-eligibility-for-an-ssl-certificate-40360
標準証明書(最も一般的)
<抜粋>
SSLをリクエストすると、ドメイン上のメールアドレスのリストに確認リンクが送信されます。メールアドレスは、admin @、administrator @、hostmaster @、postmaster @、webmaster @のいずれかでなければなりません。これらのいずれかをまだ設定していない場合は、作成していただくと、24時間以内にリンクが送信されます。リンクを選択すると、ドメインを管理できることが証明されます。
[更新日]
Update:202112