プライベート CA の更新 - AWS Private Certificate Authority

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

プライベート CA の更新

プライベート CA を作成すると、そのステータスを更新したり、失効設定を変更したりできます。このトピックでは、CA のステータスと CA ライフサイクルの詳細と、CA のコンソールと CLI 更新の例について説明します。

CA ステータスの更新

によって管理される CA のステータスは、ユーザーアクション AWS Private CA 、または場合によってはサービスアクションの結果です。例えば、CA のステータスは有効期限が切れると変化します。CA 管理者が使用できるステータスオプションは、CA の現在のステータスによって異なります。

AWS Private CA は次のステータス値を報告できます。この表には、各状態で使用可能な CA 機能が示されています。

注記

DELETEDFAILED 以外のすべてのステータス値では、CA に対して課金されます。

ステータス 証明書の発行 OCSP で証明書を検証する CRL の生成 監査の生成 CA 証明書を更新可能 証明書を取り消し可能 CA に料金が発生します
CREATING — CA を作成中です。 いいえ いいえ いいえ いいえ いいえ いいえ はい

PENDING_CERTIFICATE — CA が作成され、証明書を運用可能にする必要があります。*

いいえ いいえ いいえ いいえ いいえ いいえ はい
ACTIVE はい はい はい はい はい はい はい
DISABLED — CA を手動で無効にしました。 いいえ はい はい はい いいえ はい はい
EXPIRED — CA 証明書の有効期限が切れています。** いいえ いいえ いいえ いいえ はい いいえ はい
FAILED CreateCertificateAuthority アクションが失敗しました。これは、ネットワークの停止、バックエンドの AWS 障害、またはその他のエラーが原因で発生する可能性があります。障害が生じた CA は回復できません。CA を削除し、新しいCA を作成してください。 いいえ
DELETED CA は復元期間内です。復元期間は 7~30 日間です。この期間が過ぎると、完全に削除されます。
  • DELETED ステータスで、証明書の有効期限が切れた CA の RestoreCertificateAuthority API を呼び出すと、CA は EXPIRED に設定されます。

  • CA の削除の詳細については、「プライベート CA の削除」を参照してください。

いいえ

* アクティベーションを完了するには、CSR を生成し、CA から署名付き CA 証明書を取得し、その証明書を AWS Private CAにインポートする必要があります。CSR は、新しい CA (自己署名用) に送信するか、オンプレミスのルート CA または下位 CA に送信することができます。詳細については、「CA 証明書の作成とインストール」を参照してください。

** 有効期限切れ CA のステータスを直接変更することはできません。CA の新しい証明書をインポートすると、証明書の有効期限が切れDISABLEDる前に に設定ACTIVEされていない限り、 はステータスを に AWS Private CA リセットします。

期限切れの CA 証明書に関するその他の考慮事項:

  • CA 証明書は自動的には更新されません。による更新の自動化については AWS Certificate Manager、「」を参照してくださいACM に証明書の更新許可を割り当てる

  • 有効期限が切れた CA で新しい証明書を発行しようとすると、 IssueCertificate API は InvalidStateException を返します。有効期限切れのルート CA は、新しい下位証明書を発行する前に、新しいルート CA 証明書に自己署名する必要があります。

  • The ListCertificateAuthorities および DescribeCertificateAuthority API は、CA のステータスが ACTIVE または DISABLED に設定されているかどうかにかかわらず、CA 証明書の有効期限が切れているときに EXPIRED のステータスを返します。ただし、期限切れ CA が DELETED に設定されている場合、DELETED のステータスを返します。

  • UpdateCertificateAuthority API は、有効期限切れの CA のステータスを更新できません。

  • RevokeCertificate API を使用して、CA 証明書などの有効期限切れの証明書を取り消すことはできません。

CA ステータスと CA ライフサイクル

次の図は、管理アクションと CA ステータスの相互作用としての CA ライフサイクルを示しています。


					CA 管理アクションとステータスの相互作用。

管理アクション

CA ステータス

アクションによって状態が変化します

新しい状態によって新しいアクションが可能になります

図の上部にある管理アクションは、 AWS Private CA コンソール、CLI、または API を介して適用されます。これらのアクションによって、CA の作成、アクティベーション、失効、更新が実行されます。手動操作または自動更新に応じて、CA ステータスが変化します (上記の図では実線で示しています)。ほとんどの場合、新しいステータスによって、CA 管理者は新しいアクション (図では点線で表示) を実行できるようになります。上記の図の右下部分には、削除および復元アクションを許可するステータス値を示しています。

トピック