証明書をインポートする前提条件 - AWS Certificate Manager

証明書をインポートする前提条件

自己署名 SSL/TLS 証明書を ACM にインポートするには、証明書とそのプライベートキーを提供する必要があります。認定権限 (CA) によって署名されている証明書をインポートするには、証明書チェーンを含める必要もあります。証明書は、次の基準を満たす必要があります。

  • 証明書では、暗号化アルゴリズムとキーサイズを指定する必要があります。ACM では、次のアルゴリズムがサポートされています (括弧内の API 名)。

    • 1024 ビット RSA (RSA_1024)

    • 2048 ビット RSA (RSA_2048)

    • 3072 ビット RSA (RSA_3072)

    • 4096 ビット RSA (RSA_4096)

    • Elliptic Prime Curve 256 ビット (EC_prime256v1)

    • Elliptic Prime Curve 384 ビット (EC_secp384r1)

    • Elliptic Prime Curve 521 ビット (EC_secp521r1)

  • ACM 統合サービスでは、リソースへの関連付けがサポートされているアルゴリズムとキーサイズのみが許可されます。例えば、CloudFront は 1024 ビット RSA、2048 ビット RSA、楕円プライムカーブ 256 ビットのキーのみをサポートし、Application Load Balancer は ACM から利用可能なすべてのアルゴリズムをサポートします。詳細については、使用しているサービスのドキュメントを参照してください。

  • 証明書は、SSL/TLS X.509 バージョン 3 の証明書である必要があります。証明書には、パブリックキー、ウェブサイトの完全修飾ドメイン名 (FQDN) または IP アドレス、発行者に関する情報が含まれている必要があります。証明書はプライベートキーまたは発行元 CA のプライベートキーによって自己署名できます。証明書が CA によって署名されている場合は、証明書をインポートするときに証明書チェーンを含める必要があります。

  • 証明書はインポート時に有効である必要があります。有効になる前、または有効期限が切れた後で証明書をインポートすることはできません。NotBefore 証明書のフィールドには有効開始日が、NotAfter フィールドには終了日が含まれています。

  • プライベートキーは非暗号化される必要があります。パスワードやパスフレーズで保護されたプライベートキーをインポートすることはできません。

  • インポートされた証明書のプライベートキーは、5 KB (5,120 バイト) 以下である必要があります。

  • 証明書、プライベートキー、および証明書チェーンは PEM エンコードされる必要があります。詳細情報と例については、「インポートのための証明書とキー形式」を参照してください。

  • インポートした証明書の暗号化アルゴリズムは、CA の署名アルゴリズムと一致する必要があります。たとえば、署名 CA キータイプが RSA である場合、証明書キータイプも RSA である必要があります。

  • KeyUsage 拡張子は、以前にインポートした証明書に存在しない場合、追加することはできません。

  • ExtendedKeyUsage 拡張子は、以前にインポートした証明書に存在しない場合、追加することはできません。