AWS Certificate Manager のプライベート証明書のリクエスト - AWS Certificate Manager
プライベート証明書のリクエスト (コンソール)プライベート証明書のリクエスト (CLI)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Certificate Manager のプライベート証明書のリクエスト

プライベート証明書のリクエスト (コンソール)

  1. AWS マネジメントコンソールにサインインして ACM コンソール (https://console.aws.amazon.com/acm/home) を開きます。

    [証明書のリクエスト] を選択します。

  2. [Request certificate] (証明書のリクエスト) ページで、[Request a private certificate] (プライベート証明書のリクエスト) と [Next] (次へ) を選択して続行します。

  3. [Certificate authority details] (認証権限の詳細) セクションで、[Certificate authority] (認証権限) メニューをクリックし、使用可能なプライベート CA の 1 つを選択します。CA が別のアカウントから共有されている場合、ARN には所有権情報が付加されます。

    CA に関する詳細が表示され、正しい CA を選択したことについての確認に役立ちます。

    • [所有者]

    • タイプ

    • 共通名 (CN)

    • 組織 (O)

    • 組織単位 (OU)

    • 国名 (C)

    • 州または県

    • 市区町村

  4. [Domain names] (ドメイン名) セクションで、ドメイン名を入力します。www.example.com のような完全修飾ドメイン名 (FQDN) や example.com のようなネイキッドドメインあるいは apex ドメイン名を使用できます。また、同じドメインで複数のサイト名を保護するために、最左位置にアスタリスク (*) をワイルドカードとして使用できます。たとえば、*.example.com は、corp.example.comimages.example.com を保護します。ワイルドカード名は、ACM 証明書の [件名] フィールドと [サブジェクト代替名] 拡張子に表示されます。

    注記

    ワイルドカード証明書をリクエストする場合、アスタリスク (*) はドメイン名の左側に付ける必要があり、1 つのサブドメインレベルのみを保護できます。たとえば、*.example.comlogin.example.com および test.example.com を保護できますが、test.login.example.com を保護することはできません。また、*.example.com example.com のサブドメインのみを保護し、ネイキッドドメインまたは apex ドメイン (example.com) は保護しないことに注意してください。両方を保護するには、次のステップを参照してください。

    オプションで、[この証明書に別の名前を追加] を選択し、テキストボックスに名前を入力します。これは、ネイキッドドメインまたは apex ドメイン (example.com など) の両方とそのサブドメイン (*.example.com など) の認証のために役立ちます。

  5. [キーアルゴリズム] セクションで、アルゴリズムを選択します。

    アルゴリズムの選択に役立つ情報については、AWS Certificate Manager リソースにタグを付ける を参照してください。

  6. [Tags] (タグ) セクションで、オプションで証明書にタグを付けることができます。タグとは、AWS リソースを識別および整理するためのメタデータとして機能するキーと値のペアのことを指します。ACM タグパラメータのリスト、および証明書作成後にタグを追加する方法については、「AWS Certificate Manager リソースにタグを付ける」を参照してください。

  7. [Certificate renewal permissions] (証明書の更新許可) セクションで、証明書の更新許可に関する通知を確認します。これらの許可により、選択した CA で署名するプライベート PKI 証明書を自動的に更新できます。詳細については、「ACM でのサービスにリンクされたロールの使用」を参照してください。

  8. 必要な情報をすべて提供して、[Request] (リクエスト) を選択します。コンソールによって証明書リストに戻り、新しい証明書を表示できます。

    注記

    リストの配列方法によっては、探している証明書がすぐには表示されない場合があります。右側の黒い三角形をクリックすると、配列を変更できます。また、右上のページ番号を使用して、証明書の複数のページを検索することもできます。

プライベート証明書のリクエスト (CLI)

ACM で request-certificate コマンドを使用してプライベート証明書をリクエストします。

注記

CA によって署名されたプライベート PKI 証明書をリクエストする場合AWS Private CA、指定された署名アルゴリズムファミリー (RSA または ECDSA) は、CA のシークレットキーのアルゴリズムファミリーと一致する必要があります。

aws acm request-certificate \
--domain-name www.example.com \
--idempotency-token 12563 \
--certificate-authority-arn arn:aws:acm-pca:Region:444455556666:\
certificate-authority/CA_ID

このコマンドは、新しいプライベート証明書の Amazon リソースネーム (ARN) を出力します。

{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}

ほとんどの場合、ACM は、共有 CA を初めて使用するときに、サービスにリンクされたロール (SLR) をアカウントに自動的にアタッチします。SLR によって、発行するエンドエンティティ証明書の自動更新が可能になります。SLR が存在するかどうかを確認するには、以下のコマンドを使用して IAM にクエリを実行することができます。

aws iam get-role --role-name AWSServiceRoleForCertificateManager

SLR が存在する場合、コマンドの出力は次のようになります。

{
   "Role":{
      "Path":"/aws-service-role/acm.amazonaws.com/",
      "RoleName":"AWSServiceRoleForCertificateManager",
      "RoleId":"AAAAAAA0000000BBBBBBB",
      "Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
      "CreateDate":"2020-08-01T23:10:41Z",
      "AssumeRolePolicyDocument":{
         "Version":"2012-10-17",
         "Statement":[
            {
               "Effect":"Allow",
               "Principal":{
                  "Service":"acm.amazonaws.com"
               },
               "Action":"sts:AssumeRole"
            }
         ]
      },
      "Description":"SLR for ACM Service for accessing cross-account Private CA",
      "MaxSessionDuration":3600,
      "RoleLastUsed":{
         "LastUsedDate":"2020-08-01T23:11:04Z",
         "Region":"ap-southeast-1"
      }
   }
}

SLR がない場合は、「ACM でのサービスにリンクされたロールの使用」を参照してください。