AWS Certificate Manager
ユーザーガイド (Version 1.0)

プライベート証明書のリクエスト

以下のセクションでは、ACM コンソールまたは ACM PCA CLI を使用して既存のプライベート認証機関 (CA) からプライベート証明書をリクエストする方法について説明します。プライベート CA 作成の詳細については、プライベート認証機関 (CA) の作成を参照してください。

ACM によって発行されたプライベート証明書は、ACM によって発行されたパブリック証明書に類似しています。証明書には次の制限があります。

  • DNS サブジェクト名を使用する必要があります。詳細については、「ドメイン名」を参照してください。

  • 2048 ビットの RSA プライベートキーのみを使用できます。

  • 署名アルゴリズムは SHA256WithRSAEncryption のみサポートされます。

  • 各証明書は 13 か月間有効です。

  • プライベート CA はアクティブであることが必要で、CA プライベートキーのタイプは RSA 2048 または RSA 4096 である必要があります。

  • ACM は可能な場合、11 か月後に証明書を自動的に更新します。

ACM PCA によって発行されたプライベート証明書には、前述の制限はありません。プライベート CA を使用して、任意のサブジェクト名のある証明書を作成し、任意のサポートされているプライベートキーアルゴリズム、任意の署名アルゴリズム、および任意の有効期間を使用することができます。これは、特定の名前でサブジェクトを識別しなければならない場合や、証明書を簡単に更新できない場合に有益です。詳細については、「プライベート証明書の発行」を参照してください。

注記

プライベート CA の CA 証明書の終了日は、リクエストした証明書の終了日より後になっている必要があります。以前になっていると、証明書リクエストは失敗します。

コンソールを使用したプライベート証明書のリクエスト

  1. AWS マネジメントコンソールにサインインし、ACM コンソールを https://console.aws.amazon.com/acm/home で開きます。

  2. [プライベート証明書のリクエスト] を選択して、[証明書のリクエスト] を選択します。

  3. ドロップダウンリストからプライベート CA を選択します。CA に関する情報がリストの下に入力され、必要な CA を選択したことを確認するのに役立ちます。

    注記

    ACM コンソールに、ECDSA キーのあるプライベート CA について、Ineligible (使用不可)が表示されます。

  4. [Next (次)] を選択します。

  5. [証明書のリクエスト] ページで、ドメイン名を入力します。www.example.com のような完全修飾ドメイン名 (FQDN) や example.com のようなネイキッドドメインあるいは apex ドメイン名を使用できます。また、同じドメインで複数のサイト名を保護するために、最左位置にアスタリスク (*) をワイルドカードとして使用できます。たとえば、*.example.com は、corp.example.comimages.example.com を保護します。ワイルドカード名は、ACM 証明書の Subject フィールドとサブジェクト代替名拡張子に表示されます。

    注記

    ワイルドカード証明書をリクエストする場合、アスタリスク (*) はドメイン名の左側に付ける必要があり、1 つのサブドメインレベルのみを保護できます。たとえば、*.example.comlogin.example.com および test.example.com を保護できますが、test.login.example.com を保護することはできません。また、*.example.com は、example.com のサブドメインのみを保護し、ネイキッドドメインまたは apex ドメイン (example.com) は保護しないことに注意してください。両方を保護するには、次のステップを参照してください。

  6. ACM 証明書にドメイン名を追加するには、[Add more names (さらに名前を追加)] を選択し、表示されたテキストボックスに別のドメイン名を入力します。これは、ネイキッドドメインまたは apex ドメイン (example.com など) の両方とそのサブドメイン (*.example.com) を保護するために役立ちます。

  7. 有効な名前を入力したら、[確認とリクエスト] または [キャンセル] をクリックして終了します。

  8. 確認ページを確認してすべてが正しいことを確認し、[確定とリクエスト] を選択します。

    注記

    プライベート証明書を検証する必要はありません。

CLI を使用したプライベート証明書のリクエスト

ACM で request-certificate コマンドを使用してプライベート証明書をリクエストします。

aws acm request-certificate \ --domain-name www.example.com \ --idempotency-token 12563 \ --options CertificateTransparencyLoggingPreference=DISABLED \ --certificate-authority-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1`234-1234-1234-123456789012

このコマンドは、新しいプライベート証明書の Amazon リソースネーム (ARN) を出力します。

{ "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012" }