プライベート PKI での証明書の更新 - AWS Certificate Manager
更新された証明書のエクスポートの自動化マネージド更新のテスト

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

プライベート PKI での証明書の更新

プライベート CA によって から署名された ACM 証明書 AWS Private CA は、マネージド更新の対象となります。パブリックに信頼できる ACM 証明書とは異なり、プライベート PKI の証明書には検証は必要ありません。信頼は、管理者が適切なルート CA 証明書をクライアント信頼ストアにインストールしたときに確立されます。

注記

ACM コンソールまたは ACM API の RequestCertificateアクションを使用して取得した証明書のみが、マネージド更新の対象となります。 AWS Private CA API の IssueCertificateアクション AWS Private CA を使用して から直接発行された証明書は、ACM によって管理されません。

マネージド証明書の有効期限切れの 60 日前になると、ACM によって、自動的に更新が試みられます。これには、手動でエクスポートおよびインストールされた証明書 (例えば、オンプレミスのデータセンターで) が含まれます。お客様は、ACM API の RenewCertificateアクションを使用して、いつでも強制的に更新することもできます。強制された更新の Java 実装のサンプルについては、「証明書の更新]を参照してください。

更新後、証明書のサービスへのデプロイは、次のいずれかの方法で実行されます。

  • 証明書が、ACM 統合サービスに関連付けられている場合、追加のユーザーのアクションなしに、新しい証明書が古い証明書を置き換えます。

  • 証明書が、ACM 統合サービスに関連付けられていない場合、更新された証明書をエクスポートしてインストールするには、ユーザーのアクションが必要です。これらのアクションは、手動で実行することも、、Amazon EventBridge AWS Health、および の支援を受けてAWS Lambda次のように実行することもできます。詳細については、「更新された証明書のエクスポートの自動化」を参照してください。

更新された証明書のエクスポートの自動化

次の手順は、ACM が更新されたときにプライベート PKI 証明書のエクスポートを自動化するためのソリューションの例を示します。この例では、ACM から証明書とそのプライベートキーのみをエクスポートします。エクスポート後は、証明書をターゲットデバイスにインストールする必要があります。

コンソールを使用して証明書のエクスポートを自動化するには

  1. Lambda AWS デベロッパーガイドの手順に従って、ACM エクスポート API を呼び出す Lambda 関数を作成して設定します。

    1. Lambda 関数の作成

    2. 関数の Lambda 実行ロールを作成し、次の信頼ポリシーを追加します。このポリシーは、ACM API の ExportCertificateアクションを呼び出して、更新された証明書とプライベートキーを取得するアクセス許可を関数のコードに付与します。

      {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm:ExportCertificate",
         "Resource":"*"
      }
   ]
}

  2. Amazon でルールを作成して EventBridge ACM ヘルスイベントをリッスンし、検出時に Lambda 関数を呼び出します。ACM は、証明書の更新を試みるたびに AWS Health イベントに書き込みます。これらの通知の詳細については、「Personal Health Dashboard (PHD) を使用してステータスを確認する」を参照してください。

    次のイベントパターンを追加して、ルールを設定します。

    {
   "source":[
      "aws.health"
   ],
   "detail-type":[
      "AWS Health Event"
   ],
   "detail":{
      "service":[
         "ACM"
      ],
      "eventTypeCategory":[
         "scheduledChange"
      ],
      "eventTypeCode":[
         "AWS_ACM_RENEWAL_STATE_CHANGE"
      ]
   },
   "resources":[
      "arn:aws:acm:region:account:certificate/certificate_ID"
   ]
}

  3. ターゲットシステムに証明書を手動でインストールして、更新プロセスを完了します。

プライベート PKI 証明書のマネージド更新のテスト

ACM API または を使用して AWS CLI 、ACM マネージド更新ワークフローの設定を手動でテストできます。そうすることで、有効期限切れの前に ACM によって証明書が自動的に更新されることを確認できます。

注記

によって発行およびエクスポートされた証明書の更新のみをテストできます AWS Private CA。

以下で説明する API アクションまたは CLI コマンドを使用すると、ACM は証明書の更新を試みます。更新が成功すると、ACM はマネジメントコンソールまたは API 出力に表示される証明書のメタデータを更新します。証明書が ACM 統合サービスに関連付けられている場合、新しい証明書がデプロイされ、Amazon CloudWatch Events で更新イベントが生成されます。更新に失敗すると、ACM はエラーを返し、修復アクションを提案します。(この情報は、記述証明書コマンドを使用して閲覧できます。) 証明書が統合サービスを通じてデプロイされていない場合、証明書をエクスポートし、リソースに手動でインストールする必要があります。

重要

ACM で AWS Private CA 証明書を更新するには、まず ACM サービスプリンシパルにそのアクセス許可を付与する必要があります。詳細については、「ACM への証明書更新アクセス権限の割り当て」を参照してください。

証明書の更新を手動でテストするには (AWS CLI)

  1. renew-certificate コマンドを使用して、プライベートにエクスポートされた証明書を更新します。

    aws acm renew-certificate \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID

  2. 次に、describe-certificate コマンドを使用して、証明書の更新詳細が更新されたことを確認します。

    aws acm describe-certificate \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
証明書の更新を手動でテストするには (ACM API)

  • 更新するプライベート証明書の ARN を指定して、RenewCertificateリクエストを送信します。次に、 DescribeCertificateオペレーションを使用して、証明書の更新の詳細が更新されていることを確認します。