RFC 準拠 - AWS Private Certificate Authority

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

RFC 準拠

AWS Private CA は、RFC 5280 で定義された特定の制約を強制しません。逆も同様で、プライベート CA に適切な追加の制約が強制されます。

強制

  • 日付を過ぎると強制されませんRFC 5280 に準拠して、AWS Private CA は、交付元 CA 認定の交付日よりも後の Not After Not After 日付を持つ証明書は発行しません。

  • 基本的制約。AWS Private CA は、インポートされた CA 認定に基本的な制約とパスの長さを適用します。

    基本的な制約は、証明書によって識別されるリソースが CA であり、証明書を発行できるかどうかを示します。AWS Private CA にインポートされる CA 認定には、基本的制約の拡張を含める必要があり、拡張に critical とマークする必要があります。critical フラグに加えて、 CA=true を設定する必要があります。AWS Private CA は、以下の理由により検証例外に失敗することで、基本的制約を強制します。

    • 拡張が CA 認定に含まれていない。

    • 拡張が critical とマークされていない。

    パスの長さ (pathLenConstraint) は、インポートされた CAs証明書の下流に存在する可能性のある下位 CA の数を決定します。 は、次の理由で検証例外で失敗することでパスの長さAWS Private CAを適用します。

    • CA 認定をインポートすると、CA 認定またはチェーン内の任意の CA 認定のパスの長さ制約に違反する。

    • 証明書を発行すると、パスの長さの制約に違反する。

強制されない

  • ポリシーび制約。これらの制約により、CA の下位 CA 認定を交付する機能が制限されます。

  • サブジェクトキー識別子 (SKI)権限キー識別子 (AKI)。RFC では、SKI 拡張を含む CA 認定が必要です。CA によって発行された証明書には、CA 認定の SKI に一致する AKI 拡張が含まれている必要があります。AWS はこれらの要件を強制しません。CA 認定に SKI が含まれていない場合、発行されたエンドエンティティまたは下位 CA 認定 AKI は、発行者パブリックキーの SHA-1 ハッシュになります。

  • SubjectPublicKeyInfo およびサブジェクト代替名 (SAN)。証明書を発行すると、 は検証を実行せずに、提供された CSR から SubjectPublicKeyInfo および SAN 拡張機能AWS Private CAをコピーします。