翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
とは AWS Private CA
AWS Private CA では、オンプレミス CA の運用に伴う投資とメンテナンスのコストなしで、ルート CAs と下位 CA を含むプライベート認証機関 (CA) 階層を作成できます。プライベート CA は、次のようなシナリオでエンドエンティティ X.509 証明書を発行できます。
-
暗号化された TLS 通信チャネルの作成
-
ユーザー、コンピュータ、API エンドポイント、および IoT デバイスの認証
-
暗号署名コード
-
証明書失効ステータスを取得するためのオンライン証明書ステータスプロトコル (OCSP) の実装
AWS Private CA オペレーションには、 から AWS Management Console、 AWS Private CA API を使用して、または を使用してアクセスできます AWS CLI。
トピック
のリージョンの可用性 AWS Private Certificate Authority
ほとんどの AWS リソースと同様に、プライベート認証機関 (CAs) はリージョンリソースです。複数のリージョンでプライベート CA を使用するには、それらのリージョンで CA を作成する必要があります。リージョン間でプライベート CA をコピーすることはできません。「AWS 全般のリファレンス」の「AWS リージョンとエンドポイント」、または「AWS リージョン表
注記
ACM は現在、そう AWS Private CA でない一部のリージョンで利用できます。
と統合されたサービス AWS Private Certificate Authority
AWS Certificate Manager を使用してプライベート証明書をリクエストする場合、その証明書を ACM と統合された任意のサービスに関連付けることができます。これは、 AWS Private CA ルートに連鎖された証明書と外部ルートに連鎖された証明書の両方に適用されます。詳細については、「 AWS Certificate Manager ユーザーガイド」の「統合サービス」を参照してください。
プライベート CA を Amazon Elastic Kubernetes Service に統合して、Kubernetes クラスター内で証明書を発行することもできます。詳細については、「で Kubernetes を保護する AWS Private CA」を参照してください。
注記
Amazon Elastic Kubernetes Service は ACM 統合サービスではありません。
AWS Private CA API または を使用して証明書 AWS CLI を発行したり、ACM からプライベート証明書をエクスポートしたりする場合は、任意の場所に証明書をインストールできます。
でサポートされている暗号化アルゴリズム AWS Private Certificate Authority
AWS Private CA では、プライベートキーの生成と証明書の署名に次の暗号化アルゴリズムがサポートされています。
| プライベートキーアルゴリズム | 署名アルゴリズム |
|---|---|
|
RSA_2048 RSA_3072 RSA_4096 EC_prime256v1 EC_secp384r1 EC_secp521r1 SM2 (中国リージョンのみ) |
SHA256WITHECDSA SHA384WITHECDSA SHA512WITHECDSA SHA256WITHRSA SHA384WITHRSASHA512WITHRSA SM3WITHSM2 |
このリストは、 コンソール、API、またはコマンドライン AWS Private CA を介して によって直接発行された証明書にのみ適用されます。が から CA を使用して証明書 AWS Certificate Manager を発行する場合 AWS Private CA、これらのアルゴリズムの一部はサポートされますが、すべてはサポートされません。詳細については、「 AWS Certificate Manager ユーザーガイド」の「プライベート証明書のリクエスト」を参照してください。
注記
どの場合においても、指定された署名アルゴリズムファミリー (RSA または ECDSA) は、CA のプライベートキーのアルゴリズムファミリーと一致する必要があります。
での RFC 5280 コンプライアンス AWS Private Certificate Authority
AWS Private CA は、RFC 5280
強制
-
日付を過ぎると強制されません
。RFC 5280 に準拠して、 AWS Private CA は、交付元 CA 認定の交付日よりも後の Not AfterNot After日付を持つ証明書は発行しません。 -
基本的な制約
。インポートされた CA 証明書に基本的な制約とパスの長さ AWS Private CA を適用します。 基本的な制約は、証明書によって識別されるリソースが CA であり、証明書を発行できるかどうかを示します。 AWS Private CA にインポートされる CA 認定には、基本的制約の拡張を含める必要があり、拡張に
criticalとマークする必要があります。criticalフラグに加えて、 を設定CA=trueする必要があります。 は、次の理由で検証例外で失敗することで基本的な制約 AWS Private CA を適用します。-
拡張が CA 認定に含まれていない。
-
拡張が
criticalとマークされていない。
パス長 (pathLenConstraint) は、インポートCAs 証明書のダウンストリームに存在する可能性のある下位 CA の数を決定します。 は、以下の理由で検証例外で失敗することでパス長 AWS Private CA を適用します。
-
CA 認定をインポートすると、CA 認定またはチェーン内の任意の CA 認定のパスの長さ制約に違反する。
-
証明書を発行すると、パスの長さの制約に違反する。
-
-
名前の制約
は、証明書パスの後続の証明書のすべてのサブジェクト名を配置する必要がある名前空間を示します。制限は、サブジェクト識別名とサブジェクト代替名に適用されます。
強制されない
-
証明書ポリシー
。証明書ポリシーは、CA が証明書を発行する条件を規制します。 -
anyPolicy を禁止
します。CAs。 -
発行者の代替名
。CA 証明書の発行者に関連付ける追加の ID を許可します。 -
ポリシーの制約
。これらの制約により、CA の下位 CA 認定を交付する機能が制限されます。 -
ポリシーマッピング
。CA 証明書で使用されます。OIDs。各ペアには issuerDomainPolicy と subjectDomainPolicy が含まれます。 -
サブジェクトディレクトリの属性
。被写体の識別属性を伝えるために使用されます。 -
サブジェクト情報へのアクセス
。拡張機能が表示される証明書のサブジェクトの情報とサービスにアクセスする方法。 -
サブジェクトキー識別子 (SKI)
と 権限キー識別子 (AKI) 。RFC では、SKI 拡張を含む CA 認定が必要です。CA によって発行された証明書には、CA 証明書の SKI に一致する AKI 拡張機能が含まれている必要があります。これらの要件 AWS は適用されません。CA 認定に SKI が含まれていない場合、発行されたエンドエンティティまたは下位 CA 認定 AKI は、発行者パブリックキーの SHA-1 ハッシュになります。 -
サブジェクトパブリックキー情報
およびサブジェクト別名 (SAN) 。証明書を発行する場合、 AWS Private CA は検証を実行せずに、提供された CSR から SubjectPublicKeyInfo および SAN 拡張をコピーします。
の料金 AWS Private Certificate Authority
アカウントを作成した時点で、各プライベート CA の月額料金が課金されます。また、発行する証明書ごとに課金されます。この料金には、ACM からエクスポートする証明書と、 AWS Private CA API または CLI AWS Private CA から作成する証明書が含まれます。プライベート CA が削除された後は、それに対して課金されません。ただし、プライベート CA を復元すると、削除と復元の間の料金が課金されます。プライベートキーにアクセスできないプライベート証明書については、料金は発生しません。これらには、Elastic Load Balancing、CloudFront、API Gateway などの統合サービスで使用される証明書が含まれます。
最新の AWS Private CA 料金情報については、AWS Private Certificate Authority 「
