Windows Server CA ステップ 2: AWS CloudHSM を使用する Windows Server CA を作成する - AWS CloudHSM

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Windows Server CA ステップ 2: AWS CloudHSM を使用する Windows Server CA を作成する

Windows Server CA を作成するには、Active Directory 証明書サービス (AD CS) ロールを Windows Server に追加します。このロールを追加するときは、 AWS CloudHSM キーストレージプロバイダー (KSP) を使用して CA のプライベートキーを作成し、 AWS CloudHSM クラスターに保存します。

注記

Windows Server CA を作成すると、ルート CA または下位 CA の作成を選択できます。通常、この決定はパブリックキーインフラストラクチャの設計および組織のセキュリティポリシーに基づいて行います。このチュートリアルではルート CA を作成する方法を簡単に説明します。

AD CS ロールを Windows Server に追加して CA のプライベートキーを作成するには

  1. Windows Server に接続していない場合は、接続します。詳細については、「Amazon EC2 ユーザーガイド」の「インスタンスに接続する」を参照してください。 Amazon EC2

  2. Windows Server で [サーバーマネージャー] を起動します。

  3. [サーバー マネージャー] ダッシュボードで、[役割と機能の追加] を選択します。

  4. [開始する前に] 情報を読み、[次へ] を選択します。

  5. [インストールのタイプ] ページで、[ロールベースまたは機能ベースのインストール] を選択します。次いで、[次へ] を選択します。

  6. [サーバーの選択] で、[Select a server from the server pool (サーバープールからサーバーを選択する)] を選択します。次いで、[次へ] を選択します。

  7. [Server Roles (サーバーの役割位)] で、以下を実行します。

    1. [Active Directory Certificate Services] を選択します。

    2. [Add features that are required for Active Directory Certificate Services (Active Directory Certificate Services に必要な機能を追加する)] で、[機能の追加] を選択します。

    3. [次へ] を選択してサーバーロールの選択を完了します。

  8. [機能] で、デフォルトを受け入れて、[次へ] を選択します。

  9. [AD CS] で、以下を実行します

    1. [次へ] をクリックします。

    2. [証明機関] を選択してから、[次へ] を選択します。

  10. [確認] で確認情報を読み、[インストール] を選択します。ウィンドウを閉じないでください。

  11. 強調表示された [Configure Active Directory Certificate Services on the destination server (ターゲットサーバーの Active Directory Certificate Services を設定する)] リンクを選択します。

  12. [認証情報] で、表示される認証情報を検証または変更します。次いで、[次へ] を選択します。

  13. [役割サービス] で、[証明機関] を選択します。次いで、[次へ] を選択します。

  14. [Setup Type (セットアップタイプ)] で、[Standalone CA (スタンドアロン CA)] を選択します。次いで、[次へ] を選択します。

  15. [CA Type (CA タイプ)] で、[Root CA (ルート CA)] を選択します。次いで、[次へ] を選択します。

    注記

    パブリックキーインフラストラクチャの設計と組織のセキュリティポリシーに基づいて、ルート CA または下位 CA の作成を選択できます。このチュートリアルではルート CA を作成する方法を簡単に説明します。

  16. [プライベートキー] で、[Create a new private key (新しいプライベートキーを作成する)] を選択します。次いで、[次へ] を選択します。

  17. [暗号化] で、以下の操作を実行します。

    1. [Select a cryptographic provider (暗号化プロバイダーを選択する)] で、メニューから [Cavium Key Storage Provider (Cavium キーストレージプロバイダー)] のいずれかを選択します。これらは、 AWS CloudHSM キーストレージプロバイダーです。たとえば、[RSA#Cavium Key Storage Provider (RSA#Cavium キーストレージプロバイダー)] を選択できます。

    2. [Key length (キーの長さ)] で、キーの長さのオプションを 1 つ選択します。

    3. [Select the hash algorithm for signing certificates issued by this CA (この CA によって発行された証明書に署名するためのハッシュアルゴリズムを選択する)] で、ハッシュアルゴリズムのオプションを 1 つ選択します。

    [次へ] をクリックします。

  18. [CA Name (CA 名)] で、以下を実行します。

    1. (省略可能) 共通名を編集します。

    2. (省略可能) 識別子名サフィックスを入力します。

    [次へ] をクリックします。

  19. [有効期間] で、期間を年、月、週、または日で指定します。次いで、[次へ] を選択します。

  20. [Certificate Database (証明書データベース)] では、デフォルト値をそのままにするか、必要に応じてデータベースとデータベースログの場所を変更できます。次いで、[次へ] を選択します。

  21. [確認] で、CA に関する情報を確認し、[構成する] を選択します。

  22. [閉じる] を選択し、もう一度 [閉じる] を選択します。

これで、 を持つ Windows Server CA ができました AWS CloudHSM。CA を使用して証明書署名リクエスト (CSR) に署名する方法の詳細については、「CSR への署名」を参照してください。