プライベート証明書のリクエスト - AWS Certificate Manager
ACM コンソールを使用したプライベート証明書のリクエストCLI を使用したプライベート証明書のリクエスト

プライベート証明書のリクエスト

以下のセクションでは、ACM コンソールを使用し、以前に AWS Certificate Manager Private Certificate Authority を使用して作成した既存のプライベート認証機関 (CA) からプライベート証明書をリクエストする方法について説明します。プライベート CA 作成の詳細については、プライベート認証機関 (CA) の作成を参照してください。

ACM によって発行されたプライベート証明書は、ACM によって発行されたパブリック証明書に類似しています。証明書には次の制限があります。

  • DNS サブジェクト名を使用する必要があります。詳細については、「ドメイン名」を参照してください。

  • 2048 ビットの RSA プライベートキーのみを使用できます。

  • 署名アルゴリズムは SHA256WithRSAEncryption のみサポートされます。

  • 各証明書は 13 か月間有効です。

  • プライベート CA はアクティブであることが必要で、CA プライベートキーのタイプは RSA 2048 または RSA 4096 である必要があります。

  • ACM は可能な場合、11 か月後に証明書を自動的に更新します。

ACM PCA によって発行されたプライベート証明書には、前述の制限はありません。プライベート CA を使用して、任意のサブジェクト名のある証明書を作成し、任意のサポートされているプライベートキーアルゴリズム、任意の署名アルゴリズム、および任意の有効期間を使用することができます。これは、特定の名前でサブジェクトを識別しなければならない場合や、証明書を簡単に更新できない場合に有益です。詳細については、「プライベート証明書の発行」を参照してください。

注記

プライベート CA の CA 証明書の終了日は、リクエストした証明書の終了日より後になっている必要があります。以前になっていると、証明書リクエストは失敗します。

ACM コンソールを使用したプライベート証明書のリクエスト

  1. AWS マネジメントコンソールにサインインし、ACM コンソールを https://console.aws.amazon.com/acm/home で開きます。

    [証明書のリクエスト] を選択します。

  2. [証明書のリクエスト] ページで、[プライベート証明書のリクエスト] と [証明書のリクエスト] を選択して続行します。

  3. [Select a certificate authority (CA)] ページで、[Select a CA] フィールドをクリックして、使用可能なプライベート CA のリストを表示します。リストから CA を選択します。CA に関する情報が表示され、正しい CA を選択したことを確認するのに役立ちます。

    注記

    ACM コンソールに、ECDSA キーのあるプライベート CA について、Ineligible (使用不可)が表示されます。

    [Next] を選択します。

  4. [Add domain names] ページで、ドメイン名を入力します。www.example.com のような完全修飾ドメイン名 (FQDN) や example.com のようなネイキッドドメインあるいは apex ドメイン名を使用できます。また、同じドメインで複数のサイト名を保護するために、最左位置にアスタリスク (*) をワイルドカードとして使用できます。たとえば、*.example.com は、corp.example.comimages.example.com を保護します。ワイルドカード名は、ACM 証明書の [Subject] フィールドとサブジェクト代替名拡張子に表示されます。

    注記

    ワイルドカード証明書をリクエストする場合、アスタリスク (*) はドメイン名の左側に付ける必要があり、1 つのサブドメインレベルのみを保護できます。たとえば、*.example.comlogin.example.com および test.example.com を保護できますが、test.login.example.com を保護することはできません。また、*.example.com は、example.com のサブドメインのみを保護し、ネイキッドドメインまたは apex ドメイン (example.com) は保護しないことに注意してください。両方を保護するには、次のステップを参照してください。

    注記

    プライベート証明書のドメインを検証する必要はありません。

  5. 別の名前を追加するには、[この証明書に別の名前を追加] を選択し、テキストボックスに名前を入力します。これは、ネイキッドドメインまたは apex ドメイン (example.com など) の両方とそのサブドメイン (*.example.com など) を保護するために役立ちます。

    名前の追加が終了したら、[次へ] を選択します。

  6. [タグの追加] ページでは、オプションで証明書にタグを付けることができます。タグとは、AWS リソースを識別および整理するためのメタデータとして機能するキーと値のペアです。ACM タグパラメータのリスト、および証明書作成後にタグを追加する方法については、「AWS Certificate Manager 証明書へのタグ付け」を参照してください。

    タグの追加が完了したら、[Review and request] を選択します。

  7. [Review and request] ページにリクエストに関する正しい情報が含まれている場合は、[Confirm and request] を選択します。ACM によって [Certificates] ページが再び表示され、すべての ACM 証明書 (プライベートとパブリックの両方) に関する情報を確認できるようになります。

CLI を使用したプライベート証明書のリクエスト

ACM で request-certificate コマンドを使用してプライベート証明書をリクエストします。 

aws acm request-certificate \
--domain-name www.example.com \
--idempotency-token 12563 \
--options CertificateTransparencyLoggingPreference=DISABLED \
--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1`234-1234-1234-123456789012

このコマンドは、新しいプライベート証明書の Amazon リソースネーム (ARN) を出力します。

{
    "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012"
}