インポートのための証明書とキー形式

ACM では、証明書、証明書チェーン、およびプライベートキー (存在する場合) を個別にインポートし、PEM 形式で各コンポーネントをエンコードする必要があります。PEM は Privacy Enhanced Mail の略です。PEM 形式は、証明書、証明書リクエスト、証明書チェーン、およびキーを表すために頻繁に使用されます。PEM 形式ファイルの一般的な拡張子は .pem ですが、このとおりである必要はありません。

注記

AWS には、PEM ファイルやその他の証明書形式を操作するためのユーティリティはありません。以下の例は、単純な操作のために汎用テキストエディタに依存しています。より複雑なタスク (ファイル形式の変換やキーの抽出など) を実行する必要がある場合は、OpenSSL などの無料のオープンソースツールが容易に入手できます。

次の例では、インポートするファイルの形式を示します。コンポーネントが 1 つのファイルで表示される場合は、テキストエディタを使用して (慎重に) 3 つのファイルに分割します。PEM ファイルで文字を誤って編集した場合、またはいずれかの行の末尾に 1 つ以上のスペースを追加した場合、証明書、証明書チェーン、またはプライベートキーは無効になることに注意してください。

例 1. PEM エンコードされた証明書

-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----

例 2. PEM エンコードされた証明書チェーン

証明書チェーンには 1 つまたは複数の証明書が含まれます。テキストエディタ、Windows の copy コマンド、または Linux の cat コマンドを使用して、ファイルをチェーンに連結します。証明書は順に連結し、各ディレクトリが 1 つ前のディレクトリを認定するようにする必要があります。プライベート証明書をインポートする場合は、最後にルート証明書をコピーします。次の例には 3 つの証明書が含まれていますが、証明書チェーンに含まれている証明書はそれ以上またはそれ以下である可能性があります。

重要

証明書チェーンに証明書をコピーしないでください。

-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----

例 3. PEM エンコードされたプライベートキー

X.509 バージョン 3 証明書は、パブリックキーアルゴリズムを使用します。X.509 証明書または証明書リクエストを作成するときは、プライベートキーとパブリックキーのキーペアを作成するために使用する必要があるアルゴリズムとキービットサイズを指定します。パブリックキーは証明書またはリクエストに配置されます。関連付けられたプライベートキーシークレットを保持する必要があります。証明書をインポートするときに、プライベートキーを指定します。キーは非暗号化される必要があります。次の例に、RSA プライベートキーを示します。

-----BEGIN RSA PRIVATE KEY-----
Base64–encoded private key
-----END RSA PRIVATE KEY-----

次の例は、PEM エンコード楕円曲線プライベートキーを示しています。キーの作成方法によっては、パラメータブロックが含まれない場合があります。パラメータブロックが含まれる場合、ACM により、インポート処理中にキーを使用する前に削除されます。

-----BEGIN EC PARAMETERS-----
Base64–encoded parameters
-----END EC PARAMETERS-----
-----BEGIN EC PRIVATE KEY-----
Base64–encoded private key
-----END EC PRIVATE KEY-----