翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
プライベート証明書のリクエスト (コンソール)
-
AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/acm/home
で ACM コンソールを開きます。 [証明書のリクエスト] を選択します。
-
[Request certificate] (証明書のリクエスト) ページで、[Request a private certificate] (プライベート証明書のリクエスト) と [Next] (次へ) を選択して続行します。
-
[Certificate authority details] (認証権限の詳細) セクションで、[Certificate authority] (認証権限) メニューをクリックし、使用可能なプライベート CA の 1 つを選択します。CA が別のアカウントから共有されている場合、ARN には所有権情報が付加されます。
CA に関する詳細が表示され、正しい CA を選択したことについての確認に役立ちます。
-
[所有者]
-
Type
-
共通名 (CN)
-
組織 (O)
-
組織単位 (OU)
-
国名 (C)
-
州または県
-
市区町村
-
-
[Domain names] (ドメイン名) セクションで、ドメイン名を入力します。
www.example.comのような完全修飾ドメイン名 (FQDN) やexample.comのようなネイキッドドメインあるいは apex ドメイン名を使用できます。また、同じドメインで複数のサイト名を保護するために、最左位置にアスタリスク (*) をワイルドカードとして使用できます。たとえば、*.example.comは、corp.example.comとimages.example.comを保護します。ワイルドカード名は、ACM 証明書の [件名] フィールドと [サブジェクト代替名] 拡張子に表示されます。注記
ワイルドカード証明書をリクエストする場合、アスタリスク (
*) はドメイン名の左側に付ける必要があり、1 つのサブドメインレベルのみを保護できます。たとえば、*.example.comはlogin.example.comおよびtest.example.comを保護できますが、test.login.example.comを保護することはできません。また、*.example.comは、example.comのサブドメインのみを保護し、ネイキッドドメインまたは apex ドメイン (example.com) は保護しないことに注意してください。両方を保護するには、次のステップを参照してください。オプションで、[この証明書に別の名前を追加] を選択し、テキストボックスに名前を入力します。これは、ネイキッドドメインまたは apex ドメイン (
example.comなど) の両方とそのサブドメイン (*.example.comなど) の認証のために役立ちます。 -
[キーアルゴリズム] セクションで、アルゴリズムを選択します。
アルゴリズムの選択に役立つ情報については、AWS Certificate Manager リソースのタグ付け を参照してください。
-
[Tags] (タグ) セクションで、オプションで証明書にタグを付けることができます。タグは、 AWS リソースを識別および整理するためのメタデータとして機能するキーと値のペアです。ACM タグパラメータのリスト、および証明書作成後にタグを追加する方法については、「AWS Certificate Manager リソースのタグ付け」を参照してください。
-
[Certificate renewal permissions] (証明書の更新許可) セクションで、証明書の更新許可に関する通知を確認します。これらの許可により、選択した CA で署名するプライベート PKI 証明書を自動的に更新できます。詳細については、「ACM でのサービスにリンクされたロールの使用」を参照してください。
-
必要な情報をすべて提供して、[Request] (リクエスト) を選択します。コンソールによって証明書リストに戻り、新しい証明書を表示できます。
注記
リストの配列方法によっては、探している証明書がすぐには表示されない場合があります。右側の黒い三角形をクリックすると、配列を変更できます。また、右上のページ番号を使用して、証明書の複数のページを検索することもできます。
プライベート証明書のリクエスト (CLI)
ACM で request-certificate コマンドを使用してプライベート証明書をリクエストします。
注記
CA によって署名されたプライベート PKI 証明書をリクエストする場合 AWS Private CA、指定された署名アルゴリズムファミリー (RSA または ECDSA) は CA のシークレットキーのアルゴリズムファミリーと一致する必要があります。
aws acm request-certificate \ --domain-name www.example.com \ --idempotency-token 12563 \ --certificate-authority-arn arn:aws:acm-pca:Region:444455556666:\ certificate-authority/CA_ID
このコマンドは、新しいプライベート証明書の Amazon リソースネーム (ARN) を出力します。
{
"CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
} ほとんどの場合、ACM は、共有 CA を初めて使用するときに、サービスにリンクされたロール (SLR) をアカウントに自動的にアタッチします。SLR によって、発行するエンドエンティティ証明書の自動更新が可能になります。SLR が存在するかどうかを確認するには、以下のコマンドを使用して IAM にクエリを実行することができます。
aws iam get-role --role-name AWSServiceRoleForCertificateManager
SLR が存在する場合、コマンドの出力は次のようになります。
{
"Role":{
"Path":"/aws-service-role/acm.amazonaws.com/",
"RoleName":"AWSServiceRoleForCertificateManager",
"RoleId":"AAAAAAA0000000BBBBBBB",
"Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
"CreateDate":"2020-08-01T23:10:41Z",
"AssumeRolePolicyDocument":{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"acm.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
},
"Description":"SLR for ACM Service for accessing cross-account Private CA",
"MaxSessionDuration":3600,
"RoleLastUsed":{
"LastUsedDate":"2020-08-01T23:11:04Z",
"Region":"ap-southeast-1"
}
}
}SLR がない場合は、「ACM でのサービスにリンクされたロールの使用」を参照してください。
