AWS Certificate Manager
ユーザーガイド (Version 1.0)

プライベート証明書のエクスポート

プライベート証明書をエクスポートしてどこでも使用できます。証明書、証明書チェーン、および暗号化されたプライベートキーをエクスポートできます。プライベートキーは安全に保管する必要があります。キーは、証明書に埋め込まれているプライベートキーに関連付けられています。

プライベートキーは、2048 ビットの RSA キーです。復号化には、次の OpenSSL コマンドを使用できます。プロンプトが表示されたらパスフレーズを入力します。

openssl rsa -in encrypted_key.pem -out decrypted_key.pem

コンソールを使用したプライベート証明書のエクスポート

  1. AWS マネジメントコンソールにサインインし、ACM コンソールを https://console.aws.amazon.com/acm/home で開きます。

  2. [Certificate Manager] を選択します。

  3. エクスポートする証明書を選択します。

  4. [アクション] メニューで、[エクスポート (プライベート認証機関のみ)] を選択します。

  5. プライベートキーのパスフレーズを入力して確定します。

  6. [PEM エンコードの生成] を選択します。

  7. 証明書、証明書チェーン、および暗号化されたキーをメモリにコピーするか、それぞれの [Export to a file] (ファイルにエクスポート) を選択します。

  8. [Done] を選択します。

CLI を使用したプライベート証明書のエクスポート

export-certificate コマンドを使用して、プライベート証明書とプライベートキーをエクスポートします。コマンドを実行するときにパスフレーズを割り当てる必要があります。さらにセキュリティを強化するために、コマンドを使用する前にパスフレーズをファイルに安全に保存してください。これにより、パスフレーズがコマンド履歴に格納されるのを防ぎ、入力時に他のユーザーがパスフレーズを見るのを防ぎます。

次の例では、コマンド出力を jq にパイプして PEM 形式を適用しています。

aws acm export-certificate \ --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012 \ --passphrase --file://path-to-passphrase-file \ | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"'

これにより base64 でエンコードされた PEM 形式の証明書が出力されます。これには、次の省略された例のように、証明書チェーンと暗号化されたプライベートキーも含まれます。

-----BEGIN CERTIFICATE----- MIIDTDCCAjSgAwIBAgIRANWuFpqA16g3IwStE3vVpTwwDQYJKoZIhvcNAQELBQAw EzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNzE5MTYxNTU1WhcNMjAwODE5MTcx NTU1WjAXMRUwEwYDVQQDDAx3d3cuc3B1ZHMuaW8wggEiMA0GCSqGSIb3DQEBAQUA ... 8UNFQvNoo1VtICL4cwWOdLOkxpwkkKWtcEkQuHE1v5Vn6HpbfFmxkdPEasoDhthH FFWIf4/+VOlbDLgjU4HgtmV4IJDtqM9rGOZ42eFYmmc3eQO0GmigBBwwXp3j6hoi 74YM+igvtILnbYkPYhY9qz8h7lHUmannS8j6YxmtpPY= -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIC8zCCAdugAwIBAgIRAM/jQ/6h2/MI1NYWX3dDaZswDQYJKoZIhvcNAQELBQAw EzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNjE5MTk0NTE2WhcNMjkwNjE5MjA0 NTE2WjATMREwDwYDVQQKDAh0cm9sb2xvbDCCASIwDQYJKoZIhvcNAQEBBQADggEP ... j2PAOviqIXjwr08Zo/rTy/8m6LAsmm3LVVYKLyPdl+KB6M/+H93Z1/Bs8ERqqga/ 6lfM6iw2JHtkW+q4WexvQSoqRXFhCZWbWPZTUpBS0d4/Y5q92S3iJLRa/JQ0d4U1 tWZyqJ2rj2RL+h7CE71XIAM//oHGcDDPaQBFD2DTisB/+ppGeDuB -----END CERTIFICATE----- -----BEGIN ENCRYPTED PRIVATE KEY----- MIIFKzBVBgkqhkiG9w0BBQ0wSDAnBgkqhkiG9w0BBQwwGgQUMrZb7kZJ8nTZg7aB 1zmaQh4vwloCAggAMB0GCWCGSAFlAwQBKgQQDViroIHStQgNOjR6nTUnuwSCBNAN JM4SG202YPUiddWeWmX/RKGg3lIdE+A0WLTPskNCdCAHqdhOSqBwt65qUTZe3gBt ... ZGipF/DobHDMkpwiaRR5sz6nG4wcki0ryYjAQrdGsR6EVvUUXADkrnrrxuHTWjFl wEuqyd8X/ApkQsYFX/nhepOEIGWf8Xu0nrjQo77/evhG0sHXborGzgCJwKuimPVy Fs5kw5mvEoe5DAe3rSKsSUJ1tM4RagJj2WH+BC04SZWNH8kxfOC1E/GSLBCixv3v +Lwq38CEJRQJLdpta8NcLKnFBwmmVs9OV/VXzNuHYg== -----END ENCRYPTED PRIVATE KEY-----

すべてをファイルに出力するには、前出の例に > リダイレクタを追加し、次の結果を得ます。

aws acm export-certificate \ --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012 \ --passphrase --file://path-to-passphrase-file \ | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"' \ > /tmp/export.txt