AWS Certificate Manager
ユーザーガイド (Version 1.0)

証明書をインポートする前提条件

自己–署名 SSL/TLS 証明書を ACM にインポートするには、証明書とそのプライベートキーを提供する必要があります。署名証明書をインポートするには、証明書チェーンも含める必要があります。証明書は、次の基準を満たす必要があります。

  • 証明書では、暗号化アルゴリズムとキーサイズを指定する必要があります。ACM では以下のアルゴリズムがサポートされています。

    • 1024 ビット RSA (RSA_1024)

    • 2048 ビット RSA (RSA_2048)

    • 4096 ビット RSA (RSA_4096)

    • Elliptic Prime Curve 256 ビット (EC_prime256v1)

    • Elliptic Prime Curve 384 ビット (EC_secp384r1)

    • Elliptic Prime Curve 521 ビット (EC_secp521r1)

重要

統合サービスでは、リソースへの関連付けがサポートされているアルゴリズムとキーサイズのみが許可されます。たとえば、統合先が CloudFront の場合、パブリックキー長は 1,024 または 2,048 ビットであることが必要です。詳細については、各サービスの ドキュメントを参照してください。

  • 証明書は、SSL/TLS X.509 バージョン 3 の証明書である必要があります。証明書には、パブリックキー、ウェブサイトの完全修飾ドメイン名 (FQDN)、発行者に関する情報が含まれている必要があります。証明書はプライベートキーまたは発行元 CA のプライベートキーによって自己署名できます。証明書が CA によって署名されている場合は、証明書をインポートするときに証明書チェーンを含める必要があります。

  • 証明書はインポート時に有効である必要があります。有効になる前、または有効期限が切れた後で証明書をインポートすることはできません。NotBefore 証明書のフィールドには有効開始日が、NotAfter フィールドには終了日が含まれています。

  • プライベートキーは非暗号化される必要があります。パスワードやパスフレーズで保護されたプライベートキーをインポートすることはできません。

  • 証明書、プライベートキー、および証明書チェーンは PEM–エンコードされる必要があります。詳細な説明と例については、「インポートのための証明書とキー形式」を参照してください。

  • インポートした証明書の暗号化アルゴリズムは、CA の署名アルゴリズムと一致する必要があります。たとえば、署名 CA キータイプが RSA である場合、証明書キータイプも RSA である必要があります。