プライベート CA ライフサイクルの管理 - AWS Private Certificate Authority
有効期間の選択CA 承継の管理CA の取り消し

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

プライベート CA ライフサイクルの管理

CA 証明書には、一定の有効期限または有効期間があります。CA 証明書の有効期限が切れると、CA 階層の下位の CA によって直接または間接的に発行されたすべての証明書が無効になります。事前に計画することで、CA 証明書の有効期限を回避できます。

有効期間の選択

X.509 証明書の有効期間は、必須の基本証明書フィールドです。これにより、発行元の CA が証明書を信頼できることを証明する時間範囲が決定され、取り消しは発生しません。(自己署名されたルート証明書は、独自の有効期間を証明します。)

AWS Private CA と は、以下の制約事項に従って証明書の有効期間の設定 AWS Certificate Manager を支援します。

  • によって管理される証明書には、証明書を発行した CA の有効期間以下の有効期間 AWS Private CA が必要です。つまり、子 CA とエンドエンティティ証明書は、親証明書の有効期間を過ぎることはできません。IssueCertificate API を使用して、親の CA 以上の有効期間を持つ CA 証明書を発行しようとすると、失敗します。

  • によって発行および管理される証明書 AWS Certificate Manager (ACM がプライベートキーを生成する証明書) の有効期間は 13 か月 (395 日) です。ACM はこれらの証明書の更新プロセスを管理します。 AWS Private CA を使用して証明書を直接発行する場合は、任意の有効期間を選択できます。

次の図は、ネストされた有効期間の典型的な構成を示しています。ルート証明書は最も有効期間が長く、エンドエンティティ証明書は比較的短く、下位 CA はこれらの極端な範囲にあります。

下位期間と有効期間は、親の有効期間内になければなりません。

CA 階層を計画するときは、CA 証明書の最適な有効期間を決定します。発行するエンドエンティティ証明書の必要な有効期間から逆方向に作業します。

エンドエンティティ証明書

エンドエンティティ証明書には、ユースケースに適した有効期間が必要です。有効期間が短いため、プライベートキーが紛失または盗難された場合に証明書が公開される危険性が最小限に抑えられます。ただし、有効期間が短いということは、頻繁に更新されることを意味します。期限が切れる証明書を更新しないと、ダウンタイムが発生する可能性があります。

エンドエンティティ証明書を分散して使用すると、セキュリティ侵害が発生した場合に物流上の問題が発生する可能性があります。計画では、更新証明書と配布証明書、侵害された証明書の取り消し、および証明書に依存するクライアントに取り消しが伝播する速さについて考慮する必要があります。

ACM から発行されるエンドエンティティ証明書のデフォルトの有効期間は 13 か月 (395 日間) です。では AWS Private CA、 IssueCertificate API を使用して、発行元の CA よりも有効期間が短い限り、任意の有効期間を適用できます。

下位 CA 証明書

下位 CA 証明書は、発行する証明書よりもかなり長い有効期間を持つ必要があります。CA 証明書の有効期間は、子 CA 証明書またはエンドエンティティ証明書の発行期間の 2~5 倍です。たとえば、2 レベルの CA 階層 (ルート CA と 1 つの下位 CA) があるとします。エンドエンティティ証明書を 1 年間の有効期間で発行する場合は、下位の発行 CA の有効期間を 3 年に設定できます。これは、 の下位 CA 証明書のデフォルトの有効期間です AWS Private CA。下位 CA 証明書は、ルート CA 証明書を置き換えることなく変更できます。

ルート証明書

ルート CA 証明書を変更すると、PKI (パブリックキーインフラストラクチャ) 全体に影響するため、依存するすべてのクライアントオペレーティングシステムとブラウザの信頼ストアを更新する必要があります。運用上の影響を最小限に抑えるには、ルート証明書の有効期間を長くする必要があります。ルート証明書の AWS Private CA デフォルトは 10 年です。

CA 承継の管理

CA の承継を管理するには、2 つの方法があります。古い CA を置き換えるか、CA を新しい有効期間で再発行します。

古い CA の置換

古い CA を置き換えるには、新しい CA を作成し、同じ親 CA にチェーンします。その後、新しい CA から証明書を発行します。

新しい CA から発行された証明書には、新しい CA チェーンがあります。新しい CA が確立されたら、古い CA を無効にして、新しい証明書を発行しないようにできます。無効になっている間、古い CA は CA から発行された古い証明書の取り消しをサポートします。そうするよう設定されている場合には、OCSP によって証明書を検証し続けるか。証明書失効リスト (CRL) を検証し続けるか、またはその両方を行います。古い CA から発行された最後の証明書の有効期限が切れたら、古い CA を削除できます。CA から発行されたすべての証明書の監査レポートを生成して、発行されたすべての証明書の有効期限が切れていることを確認できます。古い CA に下位の CA がある場合は、下位の CA が同時に期限切れになるか、親 CA よりも前に期限切れになるため、下位の CA も置き換える必要があります。まず、置換が必要な階層内の最上位の CA を置き換えます。次に、後続の下位レベルごとに新しい置換下位 CA を作成します。

AWS では、必要に応じて CA の名前に CAs 生成識別子を含めることをお勧めします。たとえば、第 1 世代 CA に「Corporate Root CA」という名前を付けます。第 2 世代の CA を作成するときは、「Corporate Root CA G2」という名前を付けます。この単純な命名規則は、両方の CA が期限切れでない場合の混乱を避けるのに役立ちます。

CA のプライベートキーをローテーションするため、CA の継承方式が優先されます。CA キーでは、プライベートキーのローテーションがベストプラクティスです。ローテーションの頻度は、キーの使用頻度に比例する必要があります。より多くの証明書を発行する CA は、ローテーションの頻度が高くなります。

注記

CA を置き換えると、ACM から発行されたプライベート証明書は更新できません。発行および更新に ACM を使用する場合は、CA 証明書を再発行して、CA の有効期間を延長する必要があります。

古い CA の再発行

CA の有効期限が近づいた場合、有効期限を延長する別の方法として、新しい有効期限を設定して CA 証明書を再発行する方法があります。再発行では、すべての CA メタデータはそのまま残り、既存のシークレットキーとパブリックキーは保持されます。このシナリオでは、CA が発行した既存の証明書チェーンと有効期限が切れていないエンドエンティティ証明書は、有効期限が切れるまで有効です。新しい証明書の発行も中断することなく継続できます。再発行された証明書で CA を更新するには、CA 証明書の作成とインストール で説明されている通常のインストール手順に従ってください。

注記

新しいキーペアに切り替えることでセキュリティ上の利点が得られるため、証明書を再発行するよりも期限切れの CA を置き換えることをお勧めします。

CA の取り消し

CA の基盤となる証明書を取り消すと、その CA が取り消されます。これにより、CA が発行した証明書もすべて事実上失効します。失効情報は OCSP または CRL によってクライアントに配信されます。すべての発行済みエンドエンティティおよび CA 証明書を失効させる場合にのみ、CA 証明書を取り消してください。