CA の作成手順 (コンソール) - AWS Private Certificate Authority
モードオプションCA タイプオプションサブジェクトの識別名のオプションキーアルゴリズムのオプション証明書失効オプションタグを追加するCA 許可のオプション料金CA の作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CA の作成手順 (コンソール)

AWS Management Consoleを使用してプライベート CA を作成するには、次のステップを実行します。

コンソールの使用を開始するには

AWS アカウントにサインインし、 で AWS Private CA コンソールを開きますhttps://console.aws.amazon.com/acm-pca/home

  • プライベート がないリージョンでコンソールを開くとCAs、概要ページが表示されます。[プライベート CA を作成] を選択します。

  • CA を既に作成しているリージョンでコンソールを開くと、プライベート認証機関ページが開き、 のリストが表示されますCAs。[CA を作成] を選択します。

モードオプション

コンソールの [モードオプション] セクションで、CA が発行する証明書の有効期限モードを選択します。

  • [汎用] — 任意の有効期限を設定できる証明書を発行します。これがデフォルトです。

  • [有効期間の短い証明書] — 最大有効期間が 7 日間の証明書を発行します。有効期間を短くすることで失効メカニズムの代わりになる場合もあります。

CA タイプオプション

コンソールの [タイプオプション] セクションで、作成するプライベート認証機関のタイプを選択します。

  • [ルート] を選択すると、新しい CA 階層が構築されます。この CA は、自己署名証明書によって認証されています。これは、階層内の他の証明書CAsとエンドエンティティ証明書の最終的な署名機関として機能します。

  • [下位] を選択すると、階層のより上位にある親 CA による署名を必要とする CA が作成されます。下位は通常CAs、他の下位者を作成したり、ユーザーCAs、コンピュータ、アプリケーションにエンドエンティティ証明書を発行したりするために使用します。

    注記

    AWS Private CA は、下位 CA の親 CA も によってホストされている場合に、自動署名プロセスを提供します AWS Private CA。必要なのは使用する親 CA の選択だけです。

    下位 CA は外部の信頼サービスプロバイダーによる署名が必要な場合があります。その場合は、署名付き CA 証明書をダウンロードして取得するために使用する必要がある証明書署名リクエスト (CSR) が から AWS Private CA 提供されます。詳細については、「外部の親 CA が署名した下位 CA 証明書のインストール」を参照してください。

サブジェクトの識別名のオプション

[サブジェクトの識別名のオプション] で、プライベート CA のサブジェクト名を設定します。次のオプションの 1 つ以上に値を入力する必要があります。

  • [組織 (O)] — 会社名など

  • [組織単位 (OU)] — 会社内の部門など

  • [国名 (C)] — 2 文字の国コード

  • [州名/都道府県名] — 州または都道府県の正式名称

  • [地域名] — 都市の名前

  • 共通名 (CN) — CA を識別するための人間が読める文字列。

注記

発行時にAPIPassthroughテンプレートを適用することで、証明書のサブジェクト名をさらにカスタマイズできます。詳細と具体例については、「APIPassthrough テンプレートを使用してカスタムサブジェクト名で証明書を発行する」を参照してください。

バッキング証明書は自己署名であるため、プライベート CA に関して入力するサブジェクト情報は、パブリック CA に含まれる情報よりも少ない可能性が高いです。サブジェクト識別名を構成する各値の詳細については、RFC「5280」を参照してください。

キーアルゴリズムのオプション

[キーアルゴリズムのオプション] で、キーアルゴリズムとキーのビットサイズを選択します。デフォルト値は、2048 ビットのキー長を持つRSAアルゴリズムです。次のアルゴリズムから選択できます。

  • RSA 2048 年

  • RSA 4096

  • ECDSA P256

  • ECDSA P384

証明書失効オプション

[証明書失効オプション] では、証明書を使用するクライアントと失効ステータスを共有する 2 つの方法から選択できます。

  • CRLディストリビューションをアクティブ化する

  • オンにする OCSP

CA では、これらの失効オプションのいずれかを設定することも、いずれも設定しないことも、両方を設定することもできます。任意ではありますが、ベストプラクティスとしてはマネージド失効が推奨されます。このステップを完了する前に、各方法の利点、必要になる可能性のある事前設定、その他の失効機能に関する情報について「証明書失効方法の設定」を確認してください。

注記

失効を設定せずに CA を作成した場合は、後からいつでも設定できます。詳細については、「プライベート CA の更新」を参照してください。

  1. 証明書失効オプション で、ディスCRLトリビューションのアクティブ化 を選択します。

  2. CRL エントリの Amazon S3 バケットを作成するには、新しい S3 バケットの作成 を選択し、一意のバケット名を入力します。(バケットへのパスを含める必要はありません)。それ以外の場合は、S3 バケット URIで、リストから既存のバケットを選択します。

    コンソールを使用して新しいバケットを作成すると、 AWS Private CA は必要なアクセスポリシーをバケットにアタッチし、そのバケットで S3 のデフォルトのブロックパブリックアクセス (BPA) 設定を無効にしようとします。代わりに既存のバケットを指定する場合は、アカウントとバケットに対して BPA が無効になっていることを確認する必要があります。そうしないと、CA を作成するオペレーションは失敗します。CA が正常に作成された場合でも、 の生成を開始する前に、ポリシーを手動でアタッチする必要がありますCRLs。Amazon S3 CRLsの のアクセスポリシー Amazon S3 で説明されているポリシーパターンのいずれかを使用してください。詳細については、「Amazon S3 コンソールを使用したバケットポリシーの追加」を参照してください。

    重要

    以下の条件がすべて当てはまる場合、 AWS Private CA コンソールを使用して CA を作成しようとすると失敗します。

    • を設定していますCRL。

    • S3 バケットを自動的に作成 AWS Private CA するように に依頼します。

    • S3 でBPA設定を適用しています。

    この場合、コンソールはバケットを作成しますが、パブリックにアクセスできるようにしようとして失敗します。Amazon S3 の設定で問題が発生した場合はチェックし、BPA必要に応じて を無効にしてから、CA を作成する手順を繰り返します。詳細については、「Amazon S3 ストレージへのパブリックアクセスのブロック」を参照してください。

  3. 追加のCRL設定オプションの設定を展開します。

    • カスタムCRL名を追加して、Amazon S3 バケットのエイリアスを作成します。この名前は、5280 で定義されているCRL「ディストリビューションポイント」拡張機能の CA RFC によって発行された証明書に含まれています。

    • 有効が維持CRLされる日数で有効を入力します。デフォルト値は 7 日です。オンライン の場合CRLs、有効期間は 2~7 日が一般的です。 は、指定された期間の中間点CRLで を再生成 AWS Private CA しようとします。

  4. [バケットのバージョニング][バケットアクセスログ記録] のオプション設定を表示するには、[S3 設定] を展開します。

  1. 証明書失効オプション でをオンにする OCSPを選択します。

  2. カスタムOCSPエンドポイント - オプション フィールドでは、Amazon 以外のOCSPエンドポイントに完全修飾ドメイン名 (FQDN) を指定できます。

    このフィールドFQDNで を指定すると、 は、レスポンダーのデフォルトの代わりに、発行された各証明書の FQDN Authority Information Access 拡張機能に AWS Private CA を挿入URLします AWS OCSP。エンドポイントは、カスタム を含む証明書を受信するとFQDN、そのアドレスにOCSPレスポンスをクエリします。このメカニズムを機能させるには、さらに 2 つのアクションを実行する必要があります。

    • プロキシサーバーを使用して、カスタムに到着したトラフィックFQDNを AWS OCSPレスポンダーに転送します。

    • 対応するCNAMEレコードをDNSデータベースに追加します。

    ヒント

    カスタム を使用した完全なOCSPソリューションの実装の詳細については、CNAME「」を参照してくださいURL のカスタム の設定 AWS Private CA OCSP

    例えば、Amazon Route 53 に表示されるOCSPようにカスタマイズした のCNAMEレコードを次に示します。

    レコード名 タイプ ルーティングポリシー 差別化要因 値/トラフィックのルーティング先

    alternative.example.com

    		 CNAME - proxy.example.com
    注記

    の値にCNAMEhttp://"」やhttps://".」などのプロトコルプレフィックスを含めることはできません。

タグを追加する

[タグを追加] ページでは、任意で CA にタグを付けることができます。タグとは、 AWS リソースを識別および整理するためのメタデータとして機能するキーと値のペアのことを指します。 AWS Private CA タグパラメータのリストと、作成CAs後にタグを に追加する方法については、「」を参照してくださいプライベート CA のタグ管理

注記

作成手順中にプライベート CA にタグをアタッチするには、CA 管理者はまずインラインIAMポリシーを CreateCertificateAuthorityアクションに関連付け、タグ付けを明示的に許可する必要があります。詳細については、「T ag-on-create: 作成時に CA にタグをアタッチする」を参照してください。

CA 許可のオプション

CA アクセス許可オプション では、オプションで自動更新アクセス許可を AWS Certificate Manager サービスプリンシパルに委任できます。ACM は、このアクセス許可が付与されている場合にのみ、この CA によって生成されたプライベートエンドエンティティ証明書を自動的に更新できます。更新許可は、 APIまたは create-permission CLI コマンドを使用して AWS Private CA CreatePermissionいつでも割り当てることができます。

デフォルトでは、これらのアクセス許可が有効になっています。

注記

AWS Certificate Manager は、有効期間の短い証明書の自動更新をサポートしていません。

料金

[料金] で、プライベート CA の料金を理解していることを確認します。

注記

最新の AWS Private CA 料金情報については、「 の料金AWS Private Certificate Authority」を参照してください。AWS 料金計算ツール でコストを見積もることもできます。

CA の作成

入力した情報がすべて正しいことを確認したら、[CA を作成] を選択します。CA の詳細ページが開き、ステータスが [証明書を保留中] と表示されます。

注記

詳細ページでは、[アクション][CA 証明書をインストール] を選択して CA の設定を完了することができます。また、後で [プライベート認証機関] リストに戻って、該当するインストール手順を完了することもできます。