AWS 証明書の更新でエラー「New certifcate is missing one ore more Extended key usages supported by currently imported certificate」
こんにちは。 AWSのACMで自前で用意したSSL証明書を利用している場合、 SSL証明書の更新機能というものがあり便利です。 というのもAWSのシステム構成では、 cloudfrontやELB等、同一のSSL証明書を 複数の場所で利用している可能性があります。 1箇所ごとにSSL証明書を更新すると更新漏れするかもしれないので、 SSL証明書そのものを更新した方が、より確実に作業できます。 しかし、今回はそんな手順でエラーが出てしまいました。 事象 エラー内容は下記です。 「New certifcate is missing one ore more Extended key usages supported by currently imported certificate」 原因調査 どうやら「key usages:鍵の用途」というのがポイントのようです。 AWSのサイトを見ますと、 https://docs.aws.amazon.com/ja_jp/acm/latest/userguide/import-reimport.html 「新しい キー用途 拡張機能を追加できますが、既存の拡張機能の値を削除することはできません。 」とあります。 で、証明書を取得した人に聞いたところ 証明書の発行会社を前回と変えたとのことです。 ただ申請時に使用法を指定する項目等はなかったため、 会社によっては、使用法が指定できず、ACMで更新が不可となるようです。 そのほか、理解に下記のサイトが役に立ちました。 SSL証明書 http://www.trustss.co.jp/smnSignature350.html 対応 更新ができないので、地道に新しいSSL証明書をアップロードし切替しました。 切替した後は、コマンドで証明書の期限を確認し、 心理的にも安心して作業完了しました。 FQDN="www.google.com" #確認対象のFQDNを入力 openssl s_client -connect ${FQDN}: 443 < /dev/null 2> /dev/null | openssl x509 -text |gr...