翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudHSM キーを証明書に関連付ける
Microsoft の などのサードパーティーツールで AWS CloudHSM キーを使用する前にSignTool
ステップ 1: 証明書をインポートする
Windows では、証明書をダブルクリックするとローカルの証明書ストアにインポートできます。
ただし、ダブルクリックしてもインポートできない場合は、Microsoft Certreq ツール
certreq -accept
certificatename
この操作が失敗し、エラー Key not found
が表示された場合は、手順 2 に進みます。証明書がキーストアに表示される場合は、タスクは完了しているため、これ以上の操作は必要ありません。
ステップ 2: 証明書識別情報を収集する
前の手順が成功しなかった場合は、プライベートキーを証明書に関連付ける必要があります。ただし、関連付けを作成する前に、まず証明書の一意のコンテナ名とシリアル番号を検索する必要があります。certutil などのユーティリティを使用して、必要な証明書情報を表示します。certutil からの次の出力例は、コンテナ名とシリアル番号を示しています。
================ Certificate 1 ================ Serial Number: 72000000047f7f7a9d41851b4e000000000004Issuer: CN=Enterprise-CANotBefore: 10/8/2019 11:50 AM NotAfter: 11/8/2020 12:00 PMSubject: CN=www.example.com, OU=Certificate Management, O=Information Technology, L=Seattle, S=Washington, C=USNon-root CertificateCert Hash(sha1): 7f d8 5c 00 27 bf 37 74 3d 71 5b 54 4e c0 94 20 45 75 bc 65No key provider information Simple container name: CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c Unique container name: CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c
ステップ 3: AWS CloudHSM プライベートキーを証明書に関連付ける
キーを証明書に関連付けるには、まずAWS CloudHSM クライアントデーモン を起動してください。次に、import_key.exe (CloudHSM バージョン 3.0 以降に含まれています) を使用して、プライベートキーを証明書に関連付けます。証明書を指定するときは、その単純なコンテナ名を使用します。次の例は、コマンドと応答を示しています。このアクションでは、キーのメタデータのみがコピーされます。キーは HSM に残ります。
$> import_key.exe –RSA CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c Successfully opened Microsoft Software Key Storage Provider : 0NCryptOpenKey failed : 80090016
ステップ 4: 証明書ストアを更新する
AWS CloudHSM クライアントデーモンがまだ実行されていることを確認します。次に、certutil 動詞の -repairstore を使用して、証明書のシリアル番号を更新します。次のサンプルは、コマンドと出力の例を示しています。-repairstore 動詞
C:\Program Files\Amazon\CloudHSM>certutil -f -csp "Cavium Key Storage Provider"-repairstore my "72000000047f7f7a9d41851b4e000000000004" my "Personal" ================ Certificate 1 ================ Serial Number: 72000000047f7f7a9d41851b4e000000000004 Issuer: CN=Enterprise-CA NotBefore: 10/8/2019 11:50 AM NotAfter: 11/8/2020 12:00 PM Subject: CN=www.example.com, OU=Certificate Management, O=Information Technology, L=Seattle, S=Washington, C=US Non-root CertificateCert Hash(sha1): 7f d8 5c 00 27 bf 37 74 3d 71 5b 54 4e c0 94 20 45 75 bc 65 SDK Version: 3.0 Key Container = CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c Provider = Cavium Key Storage ProviderPrivate key is NOT exportableEncryption test passedCertUtil: -repairstore command completed successfully.
証明書のシリアル番号を更新したら、Windows の任意のサードパーティー署名ツールでこの証明書と対応する AWS CloudHSM プライベートキーを使用できます。