AWS CloudHSM を使用した認証機関 (CA) として Windows Server を設定する

「使用開始方法」のステップを完了します。Amazon EC2 クライアントを起動するときは、Windows Server AMIを選択します。このチュートリアルでは Microsoft Windows Server 2016 を使用します。これらのステップを完了すると、少なくとも 1 つの HSM を含むアクティブなクラスターが提供されます。また、Windows用の AWS CloudHSM クライアントソフトウェアがインストールされた Windows Server を実行している Amazon EC2 クライアントインスタンスがあります。

(オプション) 他の HSM をクラスターに追加します。詳細については、「HSM の AWS CloudHSM クラスターへの追加」を参照してください。

クライアントインスタンスに接続します。詳細については、「Amazon EC2 ユーザーガイド」の「インスタンスに接続する」を参照してください。

「Managing HSM users with CloudHSM CLI」または「Managing HSM users with CloudHSM Management Utility (CMU)」を使用して、Crypto User (CU) を作成します。CU のユーザー名とパスワードを書き留めます。次のステップを完了するために必要になります。

前のステップで作成した CU ユーザー名とパスワードを使用して、HSM のログイン認証情報を設定します。

ステップ 5 で、Windows Credential Manager を使用して HSM 認証情報を設定した場合は、SysInternals から psexec.exe をダウンロードして、NT Authority\SYSTEM として以下のコマンドを実行します。

psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>

<USERNAME> と <PASSWORD> を HSM 認証情報に置き換えてください。

Windows Server に接続していない場合は、接続します。詳細については、「Amazon EC2 ユーザーガイド」の「インスタンスに接続する」を参照してください。

Windows Server で [サーバーマネージャー] を起動します。

[サーバー マネージャー] ダッシュボードで、[役割と機能の追加] を選択します。

[開始する前に] 情報を読み、[次へ] を選択します。

[インストールのタイプ] ページで、[ロールベースまたは機能ベースのインストール] を選択します。次いで、[次へ] を選択します。

[サーバーの選択] で、[Select a server from the server pool (サーバープールからサーバーを選択する)] を選択します。次いで、[次へ] を選択します。

[Server Roles (サーバーの役割位)] で、以下を実行します。

1. [Active Directory Certificate Services] を選択します。

2. [Add features that are required for Active Directory Certificate Services (Active Directory Certificate Services に必要な機能を追加する)] で、[機能の追加] を選択します。

3. [次へ] を選択してサーバーロールの選択を完了します。

[機能] で、デフォルトを受け入れて、[次へ] を選択します。

[AD CS] で、以下を実行します

1. [Next] を選択します。

2. [証明機関] を選択してから、[次へ] を選択します。

[確認] で確認情報を読み、[インストール] を選択します。ウィンドウを閉じないでください。

強調表示された [Configure Active Directory Certificate Services on the destination server (ターゲットサーバーの Active Directory Certificate Services を設定する)] リンクを選択します。

[認証情報] で、表示される認証情報を検証または変更します。次いで、[次へ] を選択します。

[役割サービス] で、[証明機関] を選択します。次いで、[次へ] を選択します。

[Setup Type (セットアップタイプ)] で、[Standalone CA (スタンドアロン CA)] を選択します。次いで、[次へ] を選択します。

[CA Type (CA タイプ)] で、[Root CA (ルート CA)] を選択します。次いで、[次へ] を選択します。

[プライベートキー] で、[Create a new private key (新しいプライベートキーを作成する)] を選択します。次いで、[次へ] を選択します。

[暗号化] で、以下の操作を実行します。

1. [Select a cryptographic provider (暗号化プロバイダーを選択する)] で、メニューから [Cavium Key Storage Provider (Cavium キーストレージプロバイダー)] のいずれかを選択します。これらは、AWS CloudHSM キーストレージプロバイダーです。たとえば、[RSA#Cavium Key Storage Provider (RSA#Cavium キーストレージプロバイダー)] を選択できます。

2. [Key length (キーの長さ)] で、キーの長さのオプションを 1 つ選択します。

3. [Select the hash algorithm for signing certificates issued by this CA (この CA によって発行された証明書に署名するためのハッシュアルゴリズムを選択する)] で、ハッシュアルゴリズムのオプションを 1 つ選択します。

[Next] を選択します。

[CA Name (CA 名)] で、以下を実行します。

1. (省略可能) 共通名を編集します。

2. (省略可能) 識別子名サフィックスを入力します。

[Next] を選択します。

[有効期間] で、期間を年、月、週、または日で指定します。次いで、[次へ] を選択します。

[Certificate Database (証明書データベース)] では、デフォルト値をそのままにするか、必要に応じてデータベースとデータベースログの場所を変更できます。次いで、[次へ] を選択します。

[確認] で、CA に関する情報を確認し、[構成する] を選択します。

[閉じる] を選択し、もう一度 [閉じる] を選択します。

Windows Server に接続していない場合は、接続します。詳細については、「Amazon EC2 ユーザーガイド」の「インスタンスに接続する」を参照してください。

Windows Server で [サーバーマネージャー] を起動します。

[サーバー マネージャー] ダッシュボードの右上隅で、[ツール]、[証明機関] の順に選択します。

[証明機関] ウィンドウで、コンピュータ名を選択します。

[アクション] メニューで、[すべてのタスク]、[新しい要求の送信] の順に選択します。

CSR ファイルを選択して、[開く] を選択します。

[証明機関] ウィンドウで、[保留中の要求] をダブルクリックします。

保留中のリクエストを選択します。次に、[アクション] メニューで、[すべてのタスク]、[発行] の順に選択します。

[証明機関] ウィンドウで、[Issued Requests (発行済みの要求)] をダブルクリックします。

(オプション) 署名付き証明書をファイルにエクスポートするには、次のステップを実行します。

1. [証明機関] ウィンドウで、証明書をダブルクリックします。

2. [詳細] タブ、[Copy to File (ファイルにコピー)] の順に選択します。

3. [Certificate Export Wizard (証明書のエクスポートウィザード)] の手順に従います。