証明書をインポートする前提条件 - AWS Certificate Manager

証明書をインポートする前提条件

自己署名 SSL/TLS 証明書を ACM にインポートするには、証明書とそのプライベートキーを両方とも提供する必要があります。AWS 認定権限 (CA) のないものによって署名されている証明書をインポートするには、証明書のプライベートキーおよびパブリックキーも含める必要があります。証明書は、このトピックで説明されているすべての基準を満たす必要があります。

インポートした証明書についてはすべて、暗号化アルゴリズムとキーサイズを指定する必要があります。ACM では、次のアルゴリズムがサポートされています (括弧内の API 名)。

  • RSA 1024 ビット (RSA_1024)

  • RSA 2048 ビット (RSA_2048)

  • RSA 3072 ビット (RSA_3072)

  • RSA 4096 ビット (RSA_4096)

  • ECDSA 256 ビット (EC_prime256v1)

  • ECDSA 384 ビット (EC_secp384r1)

  • ECDSA 521 ビット (EC_secp521r1)

また、以下の追加要件に注意してください。

  • ACM 統合サービスでは、リソースへの関連付けがサポートされているアルゴリズムとキーサイズのみが許可されます。例えば、CloudFront は 1024 ビット RSA、2048 ビット RSA、楕円プライムカーブ 256 ビットのキーのみをサポートし、Application Load Balancer は ACM から利用可能なすべてのアルゴリズムをサポートします。詳細については、使用しているサービスのドキュメントを参照してください。

  • 証明書は、SSL/TLS X.509 バージョン 3 の証明書である必要があります。証明書には、パブリックキー、ウェブサイトの完全修飾ドメイン名 (FQDN) または IP アドレス、発行者に関する情報が含まれている必要があります。

  • 証明書は、お客様が所有するプライベートキーで自己署名することも、発行元 CA のプライベートキーで署名することも可能です。プライベートキーは、5KB (5,120 バイト) 以下の大きさで、暗号化されていないものを提供する必要があります。

  • 証明書が CA によって署名されており、証明書チェーンを提供することを選択する場合、チェーンは PEM エンコードされている必要があります。

  • 証明書はインポート時に有効である必要があります。有効になる前、または有効期限が切れた後で証明書をインポートすることはできません。NotBefore 証明書のフィールドには有効開始日が、NotAfter フィールドには終了日が含まれています。

  • 証明書の資料 (証明書、プライベートキー、および証明書チェーン) はすべて PEM エンコードされる必要があります。DER エンコードされた資料をアップロードすると、エラーが発生します。詳細な説明と例については、インポートのための証明書とキー形式を参照してください。

  • 証明書を更新 (再インポート) する場合に、以前にインポートされた証明書に拡張子が存在しなければ、KeyUsageまたはExtendedKeyUsageの拡張子を追加できません。

  • AWS CloudFormation は ACM への証明書のインポートをサポートしていません。