プライベート CA ライフサイクルを管理する - AWS Private Certificate Authority

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

プライベート CA ライフサイクルを管理する

CA 証明書には、一定の有効期限または有効期間があります。CA 証明書の有効期限が切れると、CA 階層のCAs下位によって直接または間接的に発行されたすべての証明書が無効になります。事前に計画することで、CA 証明書の有効期限を回避できます。

有効期間を選択する

X.509 証明書の有効期間は、必須の基本証明書フィールドです。これにより、発行元の CA が証明書を信頼できることを証明する時間範囲が決定され、取り消しは発生しません。(自己署名されたルート証明書は、独自の有効期間を証明します。)

AWS Private CA および は、以下の制約の対象となる証明書の有効期間の設定 AWS Certificate Manager を支援します。

  • によって管理される証明書の有効期間は、発行した CA の有効期間以下 AWS Private CA である必要があります。つまり、子証明書CAsとエンドエンティティ証明書は、親証明書を期限切れにすることはできません。を使用して、親の CA 以上の有効期間を持つ CA 証明書IssueCertificateAPIを発行しようとすると失敗します。

  • AWS Certificate Manager (プライベートキーACMを生成する) によって発行および管理される証明書の有効期間は 13 か月 (395 日) です。ACM は、これらの証明書の更新プロセスを管理します。 AWS Private CA を使用して証明書を直接発行する場合は、有効期間を選択できます。

次の図は、ネストされた有効期間の典型的な構成を示しています。ルート証明書は最も長寿命で、エンドエンティティ証明書は比較的短寿命で、これらの極端な間の下位CAs範囲です。

下位期間と有効期間は、親の有効期間内になければなりません。

CA 階層を計画するときは、CA 証明書の最適な有効期間を決定します。発行するエンドエンティティ証明書の必要な有効期間から逆方向に作業します。

エンドエンティティ証明書

エンドエンティティ証明書には、ユースケースに適した有効期間が必要です。有効期間が短いため、プライベートキーが紛失または盗難された場合に証明書が公開される危険性が最小限に抑えられます。ただし、有効期間が短いということは、頻繁に更新されることを意味します。期限が切れる証明書を更新しないと、ダウンタイムが発生する可能性があります。

エンドエンティティ証明書を分散して使用すると、セキュリティ侵害が発生した場合に物流上の問題が発生する可能性があります。計画では、更新証明書と配布証明書、侵害された証明書の取り消し、および証明書に依存するクライアントに取り消しが伝播する速さについて考慮する必要があります。

から発行されたエンドエンティティ証明書のデフォルトの有効期間ACMは 13 か月 (395 日) です。では AWS Private CA、発行元の CA よりも有効期間が短い限り、 を使用して有効期間IssueCertificateAPIを適用できます。

下位 CA 証明書

下位 CA 証明書は、発行する証明書よりもかなり長い有効期間を持つ必要があります。CA 証明書の有効期間は、子 CA 証明書またはエンドエンティティ証明書の発行期間の 2~5 倍です。たとえば、2 レベルの CA 階層 (ルート CA と 1 つの下位 CA) があるとします。エンドエンティティ証明書を 1 年間の有効期間で発行する場合は、下位の発行 CA の有効期間を 3 年に設定できます。これは、 の下位 CA 証明書のデフォルトの有効期間です AWS Private CA。下位 CA 証明書は、ルート CA 証明書を置き換えることなく変更できます。

ルート証明書

ルート CA 証明書の変更は (PKIパブリックキーインフラストラクチャ) 全体に影響し、依存するすべてのクライアントオペレーティングシステムとブラウザの信頼ストアを更新する必要があります。運用上の影響を最小限に抑えるには、ルート証明書の有効期間を長くする必要があります。ルート証明書の AWS Private CA デフォルトは 10 年です。

CA 継承の管理

CA の承継を管理するには、2 つの方法があります。古い CA を置き換えるか、CA を新しい有効期間で再発行します。

古い CA を置き換える

古い CA を置き換えるには、新しい CA を作成し、同じ親 CA にチェーンします。その後、新しい CA から証明書を発行します。

新しい CA から発行された証明書には、新しい CA チェーンがあります。新しい CA が確立されたら、古い CA を無効にして、新しい証明書を発行しないようにできます。無効になっている間、古い CA は CA から発行された古い証明書の失効をサポートし、そのように設定されている場合は、 OCSP および/または証明書失効リスト () を使用して証明書を検証し続けますCRLs。古い CA から発行された最後の証明書の有効期限が切れたら、古い CA を削除できます。CA から発行されたすべての証明書の監査レポートを生成して、発行されたすべての証明書の有効期限が切れていることを確認できます。古い CA に下位 がある場合CAs、下位の も置き換える必要があります。これは、下位の が親 CA の同時または前にCAs期限切れになるためです。まず、置換が必要な階層内の最上位の CA を置き換えます。次に、後続CAsの各下位レベルで新しい代替下位を作成します。

AWS CAs 必要に応じて、 の名前に CA 生成識別子を含めることをお勧めします。たとえば、第 1 世代 CA に「Corporate Root CA」という名前を付けます。第 2 世代の CA を作成するときは、「Corporate Root CA G2」という名前を付けます。この単純な命名規則は、両方の有効期限が切れていない場合CAsに混乱を回避するのに役立ちます。

CA のプライベートキーをローテーションするため、CA の継承方式が優先されます。CA キーでは、プライベートキーのローテーションがベストプラクティスです。ローテーションの頻度は、キーの使用頻度に比例する必要があります。CAsつまり、発行する証明書をより頻繁にローテーションする必要があります。

注記

を通じて発行されたプライベート証明書は、CA を置き換えると更新ACMできません。を使用してACM発行と更新を行う場合は、CA 証明書を再発行して CA の存続期間を延長する必要があります。

古い CA を再発行する

CA の有効期限が近づいた場合、有効期限を延長する別の方法として、新しい有効期限を設定して CA 証明書を再発行する方法があります。再発行では、すべての CA メタデータはそのまま残り、既存のシークレットキーとパブリックキーは保持されます。このシナリオでは、CA が発行した既存の証明書チェーンと有効期限が切れていないエンドエンティティ証明書は、有効期限が切れるまで有効です。新しい証明書の発行も中断することなく継続できます。再発行された証明書で CA を更新するには、CA 証明書のインストール で説明されている通常のインストール手順に従ってください。

注記

新しいキーペアに切り替えることでセキュリティ上の利点が得られるため、証明書を再発行するよりも期限切れの CA を置き換えることをお勧めします。

CA の取り消し

CA の基盤となる証明書を取り消すと、その CA が取り消されます。これにより、CA が発行した証明書もすべて事実上失効します。失効情報は、 OCSPまたは CRLを使用してクライアントに配布されます。すべての発行済みエンドエンティティおよび CA 証明書を失効させる場合にのみ、CA 証明書を取り消してください。