Skip to main content

Auth0管理証明書のカスタムドメイン

Auth0管理証明書を使用するカスタムドメインを設定すると、プロビジョニングステータスを確認するために参照できるカスタムドメインの属性が 2 つあります。
  • verification
  • certificate
Auth0 CLI または Management API を使用して、カスタムドメインのプロビジョニングステータスを確認できます。

Auth0 CLI

既存のドメインとそのステータスを一覧表示するには、次のコマンドを使用します。 
auth0 domains list
詳しくは、Auth0 CLIのドキュメントを参照してください。

Auth0 Management API

/api/v2/custom-domains エンドポイントに対して GET リクエストを送信します。 
curl -L -g 'https://{tenantDomain}/api/v2/custom-domains' \
-H 'Accept: application/json'
レスポンスには、各カスタムドメインの一覧と、それぞれのstatusverification.status、および検証済みの場合はcertificate.statusが含まれます。
files
{
  "custom_domain_id": "cd_9JPAp8JxtP0jvmbc",
  "domain": "yellow.acmetest.org",
  "primary": true,
  "status": "ready",
  "type": "auth0_managed_certs",
  "verification": {
    "methods": [...],
    "status": "verified",
    "last_verified_at": "2025-06-10T12:49:05Z"
  },
  "tls_policy": "recommended",
  "certificate": {
    "certificate_authority": "letsencrypt",
    "status": "provisioned",
    "renews_before": "2025-09-08T11:52:12Z"
  }
}

検証プロセス

Auth0 管理のカスタムドメインを初めて設定すると、Auth0 は指定されたカスタムドメインの DNS レコードの検証を実行します。カスタムドメインの初期 statuspending_verification に、verification.statuspending に設定されます。

証明書の発行プロセス

DNS レコードの検証が正常に完了すると、カスタムドメインの verification.statusverified に設定され、certificate.statusprovisioning に設定されます。 証明書の作成とデプロイが正常に完了すると、certificate.statusprovisioned に設定され、certificate.renews_before 属性には、Auth0 が証明書を自動更新する日付が示されます。

トラブルシューティング

検証プロセスが失敗すると、カスタムドメインの statusfailed に設定されます。次の対応を判断するには、verification.error_msg 属性を確認してください。 verification.error_msg 属性には、DNS verification record issueDomain conflicts with network configurationCAA record issue のいずれかが設定されます。
  • DNS verification record issue: Auth0 は CNAME または TXT レコードを確認できませんでした。これは、レコードが存在しない、誤っている、またはまだ伝播していない場合に発生することがあります。Auth0 は失敗と判断するまで、最大 7 日間 DNS レコードの検証を試行します。
この DNS レコードは、恒久的に維持する必要があります。Auth0 が今後証明書を自動更新するために必要です。
  • Domain conflicts with network configuration: 通常、これは DNS プロバイダーとして Cloudflare を使用しており、Zone Hold が有効になっていることを意味します。Zone Hold により、Auth0 はカスタムホスト名を検証できません。 このエラーメッセージに対処するには:
    1. Cloudflare で、DNS ゾーンから Zone Hold を削除します。
    2. プロセスを再開するには、Auth0 Dashboard > ブランディング > カスタムドメイン検証 を選択します。
    3. 検証が成功したら、Cloudflare Zone Hold を再度有効にできます。
  • CAA record issue: Auth0 はカスタムドメインの証明書を取得できません。 これは通常、ドメインの DNS Certification Authority Authorization (CAA) レコードによって、そのドメインに対してどの認証局が証明書を発行できるかが制限されていることが原因です。 このエラーメッセージに対処するには: 最も簡単な解決策は、検証しようとしている対象のカスタムドメインに設定されている CAA レコードを削除することです。これにより、Auth0 は制限なく証明書を発注してプロビジョニングできます。 現在の CAA レコードは dig コマンドで確認できます。 
      dig {your-custom-domain.com} +short CAA
    your-custom-domain.com を実際のカスタムドメインに置き換えてください。

カスタムドメインはまだ検証待ちです

DNS の伝播には最大 48 時間かかる場合があります。
  • Dashboard に引き続きこのエラーが表示される場合は、ドメイン管理サービスで CNAME レコードが正しく設定されていることを確認してください。CNAME レコードの設定は、次を使用して確認できます。
    • MxtoolboxGoogle などのツール
    • ターミナルの dig コマンド
  • そのドメイン名に A レコードがすでに設定されていないことを確認してください。
  • CNAME レコードのドメイン名や値の入力またはコピーに誤りがないことを確認してください。
上記を確認してもカスタムドメインがまだ検証待ちの場合は、ドメインを再検証する前に 4 時間待ってください。サービスの中断を避けるため、再検証時にカスタムドメインを再作成しないでください。

Cloudflare の CNAME フラット化

Auth0 では、Cloudflare のドキュメント Understand and configure CNAME flattening に記載されているとおり、どうしても必要な場合を除き、CNAME フラット化を無効にすることを推奨しています。Auth0 管理証明書に対する CNAME フラット化はサポート対象外の構成であるため、CNAME フラット化を有効にすると、予告なくカスタムドメインが機能しなくなる可能性があります。
CNAME フラット化は、DNS レコードの処理方法により、Auth0 の検証プロセスおよび証明書の更新プロセスに影響します。カスタムドメインの設定後に Cloudflare で CNAME フラット化を有効にしても、証明書の更新自体は妨げられません。 Cloudflare で管理されるすべてのサブドメインに対して CNAME フラット化を有効にする必要があり、かつ特定のサブドメインを Auth0 のカスタムドメインとして構成する必要がある場合は、Auth0 用のそのサブドメインを別の DNS プロバイダーに委任することを検討してください。詳細については、Cloudflare のドキュメント Delegating Subdomains Outside of Cloudflare を参照してください。これにより、Auth0 に使用するサブドメインを除くすべてのサブドメインで CNAME フラット化を利用できるようになります。

「このエンドポイントにはアクセスしないでください」

カスタムドメインの設定時にこのエラーが表示される場合は、環境に応じて追加の設定が必要です。詳しくは、カスタムドメインで使用する機能を設定するを参照してください。

「Service not found」

アプリケーションが audience=https://login.acmetest.org/userinfo を指定して /authorize リクエストを送信すると、サーバーは Service not found: https://login.acmetest.org/userinfo エラーを返します。これは、カスタムドメインを設定していても、/userinfo エンドポイントの API 識別子は引き続き https://{yourOriginalAuth0Domain}/userinfo のままであるためです。 同様に、Auth0 Management API の呼び出しでカスタムドメインを使用しても、同じ理由でエラーになります。 この問題を修正するには、代わりにアプリで audience=https://{yourOriginalAuth0Domain}/userinfo を使用してください。アプリケーションの Advanced SettingsOAuth2 タブで、アプリケーションが OIDC準拠 として設定されている場合は、この audience=[...]/userinfo パラメーター自体を削除することもできます。

詳細情報