翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
証明書失効方法の設定
でプライベート PKI を計画するときは AWS Private CA、エンドポイントのプライベートキーが公開されるときなど、エンドポイントが発行された証明書を信頼しなくなった場合の処理方法を検討する必要があります。この問題に対する一般的なアプローチは、有効期間の短い証明書を使用するか、証明書失効を設定することです。有効期間が短い証明書は、数時間または数日という短い期間で期限切れになるため、失効しても意味がありません。エンドポイントに失効を通知するのとほぼ同じ時間で証明書が無効になります。このセクションでは、設定やベストプラクティスなど、 AWS Private CA ユーザー向けの失効オプションについて説明します。
失効方法が必要な場合、オンライン証明書ステータスプロトコル (OCSP)、証明書失効リスト (CRL)、またはその両方を選択できます。
注記
失効を設定せずに CA を作成した場合は、後からいつでも設定できます。詳細については、「プライベート CA の更新」を参照してください。
-
オンライン証明書ステータスプロトコル (OCSP)
AWS Private CA は、お客様がインフラストラクチャ自体を運用しなくても証明書が取り消されたことをエンドポイントに通知するフルマネージド OCSP ソリューションを提供します。お客様は、 AWS Private CA コンソール、API、CLI、または を使用して、単一オペレーションで新規または既存の CAs で OCSP を有効にできます AWS CloudFormation。CRL はエンドポイントで保存および処理されるため古くなることがありますが、OCSP のストレージと処理の要件はレスポンダーのバックエンドで同期的に処理されます。
CA で OCSP を有効にすると、 は発行された新しい証明書ごとに、OCSP レスポンダーの URL を Authority Information Access (AIA) 拡張機能に AWS Private CA 含めます。拡張により、ウェブブラウザなどのクライアントは、レスポンダーにクエリを実行して、エンドエンティティおよび下位 CA 証明書が信頼できるかどうかを判断できるようになります。レスポンダーは、本物であることを保証するための暗号的に署名されたステータスメッセージを返します。
AWS Private CA OCSP レスポンダーは RFC 5019
に準拠しています。 OCSP に関する考慮事項
-
OCSP ステータスメッセージは、発行元の CA が使用するように設定されているのと同じ署名アルゴリズムを使用して署名されます。 AWS Private CA コンソールで作成された CA は、デフォルトで SHA256WITHRSA 署名アルゴリズムを使用します。サポートされているその他のアルゴリズムは、 CertificateAuthorityConfiguration API ドキュメントに記載されています。
-
OCSP レスポンダーが有効になっていると、APIPassthrough および CSRPassthrough 証明書テンプレートは AIA 拡張では機能しません。
-
マネージド OCSP サービスのエンドポイントには、パブリックインターネットからアクセスできます。OCSP を必要としていても、パブリックエンドポイントが必要ないユーザーは、独自の OCSP インフラストラクチャを運用する必要があります。
-
-
証明書失効リスト (CRL)
CRL には、失効した証明書のリストが含まれています。CRLs、 は発行された新しい各証明書に CRL ディストリビューションポイント拡張 AWS Private CA を含めます。この拡張は CRL の URL を提供します。拡張により、ウェブブラウザなどのクライアントは、CRL にクエリを実行して、エンドエンティティおよび下位 CA 証明書が信頼できるかどうかを判断できるようになります。
クライアントは CRL をダウンロードしてローカルで処理する必要があるため、OCSP よりもメモリを大量に消費します。新しい接続を試みるたびに失効状態をチェックする OCSP と比較して、CRL ではリストがダウンロードされてキャッシュされるため、消費するネットワーク帯域幅が少なくなる可能性があります。
注記
OCSP と CRL はどちらも、失効してからステータス変更が可能になるまでに多少の遅延があります。
-
証明書を取り消すと、OCSP レスポンスに新しいステータスが反映されるまでに最大 60 分かかることがあります。一般に、OCSP は失効情報の配信が速い傾向があります。これは、クライアントが数日間キャッシュすることがある CRL とは異なり、OCSP レスポンスは通常クライアントによってキャッシュされないためです。
-
CRL は通常、証明書が取り消された約 30 分後に更新されます。何らかの理由で CRL 更新が失敗した場合、 は 15 分ごとにさらに試行 AWS Private CA を行います。
失効設定の一般要件
すべての失効設定には、次の要件が適用されます。
-
CRL または OCSP を無効にする設定には
Enabled=False
パラメータのみを含める必要があり、CustomCname
やExpirationInDays
などの他のパラメータが含まれていると失敗します。 -
CRL 構成では、
S3BucketName
パラメータは Amazon Simple Storage Service バケットの命名規則に準拠している必要があります。 -
CRL または OCSP 用のカスタムの正規名 (CNAME) パラメータを含む設定は、CNAME での特殊文字の使用に関する RFC7230
の制限に準拠する必要があります。 -
CRL や OCSP 構成では、CNAME パラメーターの値には、CNAME パラメーターの値には、「http://」や「https://」などのプロトコルプレフィックスを含めることはできません。