翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Certificate Manager のプライベート証明書
AWS Private CA が作成した既存のプライベート CA にアクセスできる場合、AWS Certificate Manager (ACM) はプライベートキーインフラストラクチャ (PKI) での使用に適した証明書をリクエストできます。CA は、お客様のアカウントに存在するか、別のアカウントによってお客様と共有される場合があります。プライベート CA 作成の詳細については、Private Certificate Authority の作成を参照してください。
デフォルトでは、プライベート CA によって署名された証明書は信頼されないため、ACM はそれらに対する検証を一切サポートしていません。そのため、管理者は、組織のクライアントトラストストアにインストールするためのアクションを実行する必要があります。
プライベート ACM 証明書は X.509 標準に準拠しており、次の制約事項が適用されます。
-
名前: DNS に準拠するサブジェクト名を使用する必要があります。詳しくは、ドメイン名 を参照してください。
-
アルゴリズム: 暗号化の場合、証明書のプライベートキーのアルゴリズムは 2048 ビット RSA、256 ビット ECDSA、または 384 ビット ECDSA のいずれかである必要があります。
注記
指定された署名アルゴリズムファミリー (RSA または ECDSA) は、CA のシークレットキーのアルゴリズムファミリーと一致する必要があります。
-
有効期限: 各証明書は 13 か月間 (395 日間) 有効です。署名した CA 証明書の終了日は、リクエストした証明書の終了日より後になっている必要があります。以前になっていると、証明書リクエストは失敗します。
-
更新: ACM は 11 か月後にプライベート証明書を自動的に更新しようとします。
エンドエンティティ証明書の署名に使用されるプライベート CA には、次に示す独自の制限が適用されます。
-
CA はステータスがアクティブである必要があります。
-
CA プライベートキーアルゴリズムは RSA 2048 または RSA 4096 である必要があります。
注記
パブリックに信頼された証明書とは異なり、プライベート CA によって署名された証明書は、検証の必要がありません。
