翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
プライベート CA の更新
プライベート CA を作成すると、そのステータスを更新したり、失効設定を変更したりできます。このトピックでは、CA のステータスと CA ライフサイクルの詳細と、CA のコンソールと CLI 更新の例について説明します。
CA ステータスの更新
によって管理される CA のステータスは、ユーザーアクション AWS Private CA 、または場合によってはサービスアクションの結果です。例えば、CA のステータスは有効期限が切れると変化します。CA 管理者が使用できるステータスオプションは、CA の現在のステータスによって異なります。
AWS Private CA は次のステータス値を報告できます。この表には、各状態で使用可能な CA 機能が示されています。
注記
DELETED
と FAILED
以外のすべてのステータス値では、CA に対して課金されます。
ステータス | 証明書の発行 | OCSP で証明書を検証する | CRL の生成 | 監査の生成 | CA 証明書を更新可能 | 証明書を取り消し可能 | CA に料金が発生します |
---|---|---|---|---|---|---|---|
CREATING — CA を作成中です。 |
いいえ | いいえ | いいえ | いいえ | いいえ | いいえ | はい |
|
いいえ | いいえ | いいえ | いいえ | いいえ | いいえ | はい |
ACTIVE |
はい | はい | はい | はい | はい | はい | はい |
DISABLED — CA を手動で無効にしました。 |
いいえ | はい | はい | はい | いいえ | はい | はい |
EXPIRED — CA 証明書の有効期限が切れています。** |
いいえ | いいえ | いいえ | いいえ | はい | いいえ | はい |
FAILED |
CreateCertificateAuthority アクションが失敗しました。これは、ネットワークの停止、バックエンドの AWS 障害、またはその他のエラーが原因で発生する可能性があります。障害が生じた CA は回復できません。CA を削除し、新しいCA を作成してください。 |
いいえ | |||||
DELETED |
CA は復元期間内です。復元期間は 7~30 日間です。この期間が過ぎると、完全に削除されます。
|
いいえ |
* アクティベーションを完了するには、CSR を生成し、CA から署名付き CA 証明書を取得し、その証明書を AWS Private CAにインポートする必要があります。CSR は、新しい CA (自己署名用) に送信するか、オンプレミスのルート CA または下位 CA に送信することができます。詳細については、「CA 証明書の作成とインストール」を参照してください。
** 有効期限切れ CA のステータスを直接変更することはできません。CA の新しい証明書をインポートすると、証明書の有効期限が切れDISABLED
る前に に設定ACTIVE
されていない限り、 はステータスを に AWS Private CA リセットします。
期限切れの CA 証明書に関するその他の考慮事項:
-
CA 証明書は自動的には更新されません。による更新の自動化については AWS Certificate Manager、「」を参照してくださいACM に証明書の更新許可を割り当てる。
-
有効期限が切れた CA で新しい証明書を発行しようとすると、
IssueCertificate
API はInvalidStateException
を返します。有効期限切れのルート CA は、新しい下位証明書を発行する前に、新しいルート CA 証明書に自己署名する必要があります。 -
The ListCertificateAuthorities
およびDescribeCertificateAuthority
API は、CA のステータスがACTIVE
またはDISABLED
に設定されているかどうかにかかわらず、CA 証明書の有効期限が切れているときにEXPIRED
のステータスを返します。ただし、期限切れ CA がDELETED
に設定されている場合、DELETED
のステータスを返します。 -
UpdateCertificateAuthority
API は、有効期限切れの CA のステータスを更新できません。 -
RevokeCertificate
API を使用して、CA 証明書などの有効期限切れの証明書を取り消すことはできません。
CA ステータスと CA ライフサイクル
次の図は、管理アクションと CA ステータスの相互作用としての CA ライフサイクルを示しています。
管理アクション |
アクションによって状態が変化します |
新しい状態によって新しいアクションが可能になります |
図の上部にある管理アクションは、 AWS Private CA コンソール、CLI、または API を介して適用されます。これらのアクションによって、CA の作成、アクティベーション、失効、更新が実行されます。手動操作または自動更新に応じて、CA ステータスが変化します (上記の図では実線で示しています)。ほとんどの場合、新しいステータスによって、CA 管理者は新しいアクション (図では点線で表示) を実行できるようになります。上記の図の右下部分には、削除および復元アクションを許可するステータス値を示しています。