AWS CloudHSM キーを証明書に関連付ける - AWS CloudHSM
証明書のインポート証明書情報キーを証明書に関連付ける証明書ストアを更新する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM キーを証明書に関連付ける

Microsoft の などのサードパーティーツールで AWS CloudHSM キーを使用する前にSignTool、キーのメタデータをローカル証明書ストアにインポートし、メタデータを証明書に関連付ける必要があります。キーのメタデータをインポートするには、CloudHSM バージョン 3.0 以降に含まれている import_key.exe ユーティリティを使用します。次の手順では、追加情報とサンプル出力を示します。

ステップ 1: 証明書をインポートする

Windows では、証明書をダブルクリックするとローカルの証明書ストアにインポートできます。

ただし、ダブルクリックしてもインポートできない場合は、Microsoft Certreq ツールを使用して証明書マネージャーに証明書をインポートします。例えば: 

certreq -accept certificatename

この操作が失敗し、エラー Key not found が表示された場合は、手順 2 に進みます。証明書がキーストアに表示される場合は、タスクは完了しているため、これ以上の操作は必要ありません。

ステップ 2: 証明書識別情報を収集する

前の手順が成功しなかった場合は、プライベートキーを証明書に関連付ける必要があります。ただし、関連付けを作成する前に、まず証明書の一意のコンテナ名とシリアル番号を検索する必要があります。certutil などのユーティリティを使用して、必要な証明書情報を表示します。certutil からの次の出力例は、コンテナ名とシリアル番号を示しています。

================ Certificate 1 ================ Serial Number:
			72000000047f7f7a9d41851b4e000000000004Issuer: CN=Enterprise-CANotBefore: 10/8/2019 11:50
			AM NotAfter: 11/8/2020 12:00 PMSubject: CN=www.example.com, OU=Certificate Management,
			O=Information Technology, L=Seattle, S=Washington, C=USNon-root CertificateCert
			Hash(sha1): 7f d8 5c 00 27 bf 37 74 3d 71 5b 54 4e c0 94 20 45 75 bc 65No key provider
			information Simple container name: CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c Unique
			container name: CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c

ステップ 3: AWS CloudHSM プライベートキーを証明書に関連付ける

キーを証明書に関連付けるには、まずAWS CloudHSM クライアントデーモン を起動してください。次に、import_key.exe (CloudHSM バージョン 3.0 以降に含まれています) を使用して、プライベートキーを証明書に関連付けます。証明書を指定するときは、その単純なコンテナ名を使用します。次の例は、コマンドと応答を示しています。このアクションでは、キーのメタデータのみがコピーされます。キーは HSM に残ります。

$> import_key.exe –RSA CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c

Successfully opened Microsoft Software Key Storage Provider : 0NCryptOpenKey failed : 80090016

ステップ 4: 証明書ストアを更新する

AWS CloudHSM クライアントデーモンがまだ実行されていることを確認します。次に、certutil 動詞の -repairstore を使用して、証明書のシリアル番号を更新します。次のサンプルは、コマンドと出力の例を示しています。-repairstore 動詞の詳細については、Microsoft のドキュメントを参照してください。

C:\Program Files\Amazon\CloudHSM>certutil -f -csp "Cavium Key Storage Provider"-repairstore my "72000000047f7f7a9d41851b4e000000000004"
my "Personal"
================ Certificate 1 ================
Serial Number: 72000000047f7f7a9d41851b4e000000000004
Issuer: CN=Enterprise-CA
NotBefore: 10/8/2019 11:50 AM
NotAfter: 11/8/2020 12:00 PM
Subject: CN=www.example.com, OU=Certificate Management, O=Information Technology, L=Seattle, S=Washington, C=US
Non-root CertificateCert Hash(sha1): 7f d8 5c 00 27 bf 37 74 3d 71 5b 54 4e c0 94 20 45 75 bc 65       
SDK Version: 3.0 
Key Container = CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c 
Provider = Cavium Key Storage ProviderPrivate key is NOT exportableEncryption test passedCertUtil: -repairstore command completed successfully.

証明書のシリアル番号を更新したら、Windows の任意のサードパーティー署名ツールでこの証明書と対応する AWS CloudHSM プライベートキーを使用できます。