証明書をインポートする前提条件
自己署名 SSL/TLS 証明書を ACM にインポートするには、証明書とそのプライベートキーを両方とも提供する必要があります。AWS 認定権限 (CA) のないものによって署名されている証明書をインポートするには、証明書の秘密鍵、証明書の公開鍵、および証明書チェーンも含める必要があります。証明書は、このトピックで説明されているすべての基準を満たす必要があります。
インポートした証明書についてはすべて、暗号化アルゴリズムとキーサイズを指定する必要があります。ACM では、次のアルゴリズムがサポートされています (括弧内の API 名)。
-
1024 ビット RSA (
RSA_1024
) -
2048 ビット RSA (
RSA_2048
) -
3072 ビット RSA (
RSA_3072
) -
4096 ビット RSA (
RSA_4096
) -
Elliptic Prime Curve 256 ビット (
EC_prime256v1
) -
Elliptic Prime Curve 384 ビット (
EC_secp384r1
) -
Elliptic Prime Curve 521 ビット (
EC_secp521r1
)
また、以下の追加要件に注意してください。
-
ACM 統合サービスでは、リソースへの関連付けがサポートされているアルゴリズムとキーサイズのみが許可されます。例えば、CloudFront は 1024 ビット RSA、2048 ビット RSA、楕円プライムカーブ 256 ビットのキーのみをサポートし、Application Load Balancer は ACM から利用可能なすべてのアルゴリズムをサポートします。詳細については、使用しているサービスのドキュメントを参照してください。
-
証明書は、SSL/TLS X.509 バージョン 3 の証明書である必要があります。証明書には、パブリックキー、ウェブサイトの完全修飾ドメイン名 (FQDN) または IP アドレス、発行者に関する情報が含まれている必要があります。
-
証明書は、所有するプライベートキーまたは発行元 CA のプライベートキーによって自己署名できます。
証明書が自己署名証明書である場合は、プライベートキーを提供する必要があります。プライベートキーは 5 KB (5,120 バイト) 以下で、暗号化されていない必要があります。
証明書が CA によって署名されている場合は、証明書チェーンを提供する必要があり、証明書の暗号化アルゴリズムが CA のアルゴリズムと一致する必要があります。例えば、CA キータイプが RSA である場合、証明書キータイプも RSA である必要があります。
-
証明書はインポート時に有効である必要があります。有効になる前、または有効期限が切れた後で証明書をインポートすることはできません。
NotBefore
証明書のフィールドには有効開始日が、NotAfter
フィールドには終了日が含まれています。 -
証明書の資料 (証明書、プライベートキー、および証明書チェーン) はすべて PEM エンコードされる必要があります。DER エンコードされた資料をアップロードすると、エラーが発生します。詳細な説明と例については、「インポートのための証明書とキー形式」を参照してください。
-
証明書を更新 (再インポート) する場合に、以前にインポートされた証明書に拡張子が存在しなければ、
KeyUsage
またはExtendedKeyUsage
の拡張子を追加できません。