AWS Private CA CA ステータスを理解する - AWS Private Certificate Authority
CA ステータスと CA ライフサイクルの関係

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Private CA CA ステータスを理解する

によって管理される CA のステータスは、ユーザーアクション、または場合によってはサービスアクションから AWS Private CA 取得されます。例えば、CA のステータスは有効期限が切れると変化します。CA 管理者が使用できるステータスオプションは、CA の現在のステータスによって異なります。

AWS Private CA は、次のステータス値をレポートできます。この表には、各状態で使用可能な CA 機能が示されています。

注記

DELETEDFAILED 以外のすべてのステータス値では、CA に対して課金されます。

ステータス 証明書の発行 OCSP で証明書を検証する CRL の生成 監査の生成 CA 証明書を更新可能 証明書を取り消し可能 CA に料金が発生します
CREATING — CA を作成中です。 いいえ いいえ いいえ いいえ いいえ いいえ はい

PENDING_CERTIFICATE — CA が作成され、証明書を運用可能にする必要があります。*

 いいえ いいえ いいえ いいえ いいえ いいえ はい
ACTIVE あり あり あり あり あり あり はい
DISABLED — CA を手動で無効にしました。 いいえ はい あり はい なし はい はい
EXPIRED — CA 証明書の有効期限が切れています。** いいえ いいえ いいえ いいえ あり なし はい
FAILED CreateCertificateAuthority アクションが失敗しました。これは、ネットワークの停止、バックエンド AWS 障害、またはその他のエラーが原因で発生する可能性があります。障害が生じた CA は回復できません。CA を削除し、新しいCA を作成してください。 いいえ
DELETED CA は復元期間内です。復元期間は 7~30 日間です。この期間が過ぎると、完全に削除されます。

  • DELETED ステータスで、証明書の有効期限が切れた CA の RestoreCertificateAuthority API を呼び出すと、CA は EXPIRED に設定されます。

  • CA の削除の詳細については、「プライベート CA の削除」を参照してください。

 いいえ

アクティベーションを完了するには、CSR を生成し、CA から署名付き CA 証明書を取得し、証明書を にインポートする必要があります AWS Private CA。CSR は、新しい CA (自己署名用) に送信するか、オンプレミスのルート CA または下位 CA に送信することができます。詳細については、「CA 証明書のインストール」を参照してください。

有効期限切れ CA のステータスを直接変更することはできません。CA の新しい証明書をインポートすると、証明書の有効期限が切れDISABLEDる前に に設定されACTIVEない限り、 はステータスを に AWS Private CA リセットします。

期限切れの CA 証明書に関するその他の考慮事項:

  • CA 証明書は自動的には更新されません。による更新の自動化については AWS Certificate Manager、「」を参照してくださいACM に証明書の更新許可を割り当てる

  • 有効期限が切れた CA で新しい証明書を発行しようとすると、 IssueCertificate API は InvalidStateException を返します。有効期限切れのルート CA は、新しい下位証明書を発行する前に、新しいルート CA 証明書に自己署名する必要があります。

  • The ListCertificateAuthorities および DescribeCertificateAuthority API は、CA のステータスが ACTIVE または DISABLED に設定されているかどうかにかかわらず、CA 証明書の有効期限が切れているときに EXPIRED のステータスを返します。ただし、期限切れ CA が DELETED に設定されている場合、DELETED のステータスを返します。

  • UpdateCertificateAuthority API は、有効期限切れの CA のステータスを更新できません。

  • RevokeCertificate API を使用して、CA 証明書などの有効期限切れの証明書を取り消すことはできません。

CA ステータスと CA ライフサイクルの関係

次の図は、管理アクションと CA ステータスの相互作用としての CA ライフサイクルを示しています。

CA 管理アクションとステータスの相互作用。
ダイアグラムキー
Blue fabric swatch with a repeating pattern of white polka dots.

管理アクション
Blue parallelogram shape with angled sides and sharp corners.
CA ステータス
Blue arrow pointing to the right, indicating direction or progression.

アクションによって状態が変化します
Blue arrow pointing right, composed of five dots increasing in size from left to right.

新しい状態によって新しいアクションが可能になります

図の上部にある管理アクションは、 AWS Private CA コンソール、CLI、または API を介して適用されます。これらのアクションによって、CA の作成、アクティベーション、失効、更新が実行されます。手動操作または自動更新に応じて、CA ステータスが変化します (上記の図では実線で示しています)。ほとんどの場合、新しいステータスによって、CA 管理者は新しいアクション (図では点線で表示) を実行できるようになります。上記の図の右下部分には、削除および復元アクションを許可するステータス値を示しています。

トピック