AWS ACMのDNS検証をお名前.com, Xserver等のDNS管理サービスで行う方法

DNSって難しい。。。
最近DNSの難しさに頭を痛めている筆者です。。

AWSを使っていると、サービスのSSL証明書はACMで取得するケースが多い。
ACMの証明書取得のための検証方法は、ちょっと前まではEmail検証しかなかったが、今ではDNS検証が使えるため、
自動更新の面などから、そちらを使用する人も多いと思う。

Route53を使っているとDNS検証はとても簡単。
ボタンを押すだけで、Route53上に検証用レコードを追加してくれる。

でも、お名前.comやXserverなどの別のDNSサーバ・サービスで管理していると
ちょっとめんどくさい。

概要

AWS ACMのDNS検証は「_」が色々足かせに

なぜなら、作成するDNSレコードはCNAMEであるだけでなく
CNAMEパラメータ、CNAME値の両方とも、先頭文字が「_」(アンダースコア)だからだ。

お名前.comでもXserverでも
cname値、「内容」の方のレコードに「_」(アンダースコア)は利用できない。

その場合、ACMのDNS検証が使えないのかというとそんなことはない。という話。

公式ドキュメントではCNAME値(内容)の「_」(アンダースコア)は省略してもDNS検証できると書いてあります。
CNAME 値 _x2.acm-validations.aws を検証目的で x2.acm-validations.aws に変更できるとあります。

For example, the CNAME value _x2.acm-validations.aws can be changed to x2.acm-validations.aws for validation purposes. However, the CNAME name parameter must always begin with a leading underscore.

cnameパラメータの方には先頭の「_」は省略できないので注意です。
ドキュメント内の図をを和訳すると下記のような感じなので
CNAME値の「_」は外しても検証可能。

名前タイプ値

_＜random value＞.example.com. CNAME _＜random value＞.acm-validations.aws.

_＜random value＞.example.com. CNAME ＜random value＞.acm-validations.aws.

名前	タイプ	値
_＜random value＞.example.com.	CNAME	_＜random value＞.acm-validations.aws.
_＜random value＞.example.com.	CNAME	＜random value＞.acm-validations.aws.

AWS ACMのDNS検証をお名前.comとXServerで行う

ドキュメントだけだとちょっと心配なので
実際にXserverとお名前.comでACMのDNS検証ができるかどうか
CNAMEの設定してみたところ、問題なくACMのステータスが「使用可能」になった。

なのでドキュメント通り、ACMのDNS検証ができます。

XserverでAWS ACMのDNS検証の結果

Xserverだとこんな感じ。

ACMで確認すると、
ちゃんと「利用可能」になっている。おっけーおっけー。

お名前.com でAWS ACMのDNS検証の結果

お名前.comでもやってみたところ、
AWSコンソールで「成功」が表示されたし、digでCNAMEの確認ができた。

dig _14****.****.com       

; <<>> DiG 9.10.6 <<>> _14****.****.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8738
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;_14****.****.com. IN A

;; ANSWER SECTION:
_14****.****.com. 60 IN CNAME ***.***yx.acm-validations.aws.

;; AUTHORITY SECTION:
***yx.acm-validations.aws.	900 IN	SOA	ns-59.awsdns-07.com. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400

;; Query time: 152 msec
;; SERVER: 2400:4050:2202:e500:6ab:18ff:fe35:7d43#53(2400:4050:2202:e500:6ab:18ff:fe35:7d43)
;; WHEN: Wed Dec 25 00:18:49 JST 2019
;; MSG SIZE  rcvd: 230

dig _14****.****.com

; <<>> DiG 9.10.6 <<>> _14****.****.com

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8738

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 512

;; QUESTION SECTION:

;_14****.****.com. IN A

;; ANSWER SECTION:

_14****.****.com. 60 IN CNAME ***.***yx.acm-validations.aws.

;; AUTHORITY SECTION:

***yx.acm-validations.aws. 900 IN SOA ns-59.awsdns-07.com. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400

;; Query time: 152 msec

;; SERVER: 2400:4050:2202:e500:6ab:18ff:fe35:7d43#53(2400:4050:2202:e500:6ab:18ff:fe35:7d43)

;; WHEN: Wed Dec 25 00:18:49 JST 2019

;; MSG SIZE rcvd: 230

こりゃよい。
AWSに全部移せないケースも多いしね。

詳しくは公式どうぞ

https://docs.aws.amazon.com/acm/latest/userguide/troubleshooting-DNS-validation.html

じゃあね〜〜〜〜。