翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# CA 証明書のインストール
プライベート CA 証明書を作成してインストールするには、次の手順を実行します。その後、CA を使用できるようになります。
AWS Private CA は、CA 証明書をインストールするための 3 つのシナリオをサポートしています。
+ によってホストされるルート CA の証明書のインストール AWS Private CA
+ 親機関が AWS Private CAにホストされている下位 CA 証明書のインストール
+ 親機関が外部でホストされている下位 CA 証明書のインストール
次のセクションでは、各シナリオの手順について説明します。コンソールの手順は、コンソールページの [**プライベート CA**] から開始します。
## 互換性のある署名アルゴリズム
CA 証明書の署名アルゴリズムのサポートは、親 CA の署名アルゴリズムと AWS リージョンによって異なります。コンソールと AWS CLI オペレーションの両方に次の制約が適用されます。
+ RSA キーアルゴリズムを持つ親 CA は、次の署名アルゴリズムを使用して証明書を発行できます。
+ SHA256 RSA
+ SHA384 RSA
+ SHA512 RSA
+ レガシーでは AWS リージョン、EDCSA キーアルゴリズムを持つ親 CA は、次の署名アルゴリズムを使用して証明書を発行できます。
+ SHA256 ECDSA
+ SHA384 ECDSA
+ SHA512 ECDSA
レガシー AWS リージョン には以下が含まれます。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/privateca/latest/userguide/PCACertInstall.html)
+ レガシーではない場合 AWS リージョン、EDCSA には次のルールが適用されます。
+ EC\$1prime256v1 署名アルゴリズムを使用する親 CA は、ECDSA P256 を使用して証明書を発行できます。
+ EC\$1secp384r1 署名アルゴリズムを使用する親 CA は ECDSA P384 を使用して証明書を発行できます。
+ すべての で AWS リージョン、EDCSA には次のルールが適用されます。
+ EC\$1secp521r1 署名アルゴリズムを持つ親 CA は、ECDSA P521 で証明書を発行できます。
## ルート CA 証明書をインストールする
ルート CA 証明書は、 AWS マネジメントコンソール または からインストールできます AWS CLI。
**プライベートルート CA の証明書を作成してインストールするには (コンソール)**
1. (オプション) CA の詳細ページをまだ開いていない場合は、[https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home) の AWS Private CA コンソールを開きます。**[プライベート認証機関]** ページで、ステータスが **[証明書を保留中]** または **[アクティブ]** のルート CA を選択します。
1. **[アクション]**、**[CA 証明書をインストール]** を選択し、**[ルート CA 証明書をインストール]** ページを開きます。
1. **[ルート CA 証明書のパラメータを指定]** で、次の証明書パラメータを指定します。
+ **[有効性]** — CA 証明書の期限が切れる日時を指定します。ルート CA 証明書の AWS Private CA デフォルトの有効期間は 10 年です。
+ **[署名アルゴリズム]** — ルート CA が新しい証明書を発行するときに使用する署名アルゴリズムを指定します。使用可能なオプションは、CA を作成する AWS リージョン によって異なります。詳細については、「[CertificateAuthorityConfiguration](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CertificateAuthorityConfiguration.html#API_CertificateAuthorityConfiguration_Contents)」の「[互換性のある署名アルゴリズム](#signing_algorithms)」、「[でサポートされている暗号化アルゴリズム AWS Private Certificate Authority](PcaWelcome.md#supported-algorithms)」および「**[SigningAlgorithm]**」を参照してください。
+ SHA256 RSA
+ SHA384 RSA
+ SHA512 RSA
設定が正しいかどうかを確認し、CA の CSR **を確認してインストール**するを選択します。ルート CA AWS Private CA 証明書[テンプレート](UsingTemplates.md)を使用して証明書を生成し、証明書に自己署名します。 AWS Private CA その後、自己署名ルート CA 証明書をインポートします。
1. CA の詳細ページの上部には、インストールのステータス (成功または失敗) が表示されます。インストールが正常に完了すると、新たに完了したルート CA のステータスが、**[一般]** ペインに **[Active]** と表示されます。
**プライベートルート CA の証明書を作成してインストールするには (AWS CLI)**
1. 証明書署名リクエスト (CSR) を生成します。
```
$ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--output text \
--region region > ca.csr
```
生成されたファイル `ca.csr` は base64 形式でエンコードされた PEM ファイルで、次のような外見をしています。
```
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
```
[OpenSSL](https://www.openssl.org/) を使用して CSR の内容を表示および検証できます。
```
openssl req -text -noout -verify -in ca.csr
```
この出力は次のようになります。
```
verify OK
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
7b:59
Exponent: 65537 (0x10001)
Attributes:
Requested Extensions:
X509v3 Basic Constraints: critical
CA:TRUE
Signature Algorithm: sha256WithRSAEncryption
0e:f1:c4:b5:48:e6:cd:41:aa:65:cc:31:3e:38:cb:50:d9:b5:
0c:77:44:33:da:9c:c3:46:2c:63:b5:4e:62:ed:ca:aa:a7:50:
7e:3d:4e:56:be:da:9e:e7:ae:5d:2d:a2:35:1f:ff:73:da:67:
9d:85:40:dd:3d:4a:b1:64:f2:ab:58:48:a9:cc:19:de:4f:64:
bd:00:f8:d1:6c:35:6f:b0:e0:10:10:34:a9:60:f6:6e:b5:ed:
81:2c:9e:4c:ed:6d:f2:91:96:86:89:35:8a:00:1d:96:91:bd:
b0:34:94:c4:3f:b5:4d:8f:29:94:76:be:76:a8:e3:8e:14:82:
6d:0e:fe:dd:e3:c7:9a:e3:f3:5e:db:df:58:50:70:71:d0:d2:
54:2e:5d:5d:a4:c9:3a:cc:a2:15:9e:2d:fd:9f:2f:e2:b4:c4:
9f:59:81:70:f8:29:89:d8:d3:36:ab:a6:b7:80:e5:10:5e:3b:
9c:6c:dc:cb:3e:a0:65:9c:d7:7a:90:7c:c0:71:df:7b:eb:af:
3d:a6:77:0e:62:2a:38:3b:d6:eb:94:52:6b:43:57:a7:b0:c0:
66:bf:54:ee:61:36:29:d8:01:fa:20:76:ee:5a:1a:e5:5b:9d:
31:53:de:7e:39:07:c5:87:cf:6f:bd:af:47:67:6c:0e:f1:51:
e9:75:4a:e4
```
1. 前のステップの CSR を `--csr` パラメータの引数として使用して、ルート証明書を発行します。
**注記**
AWS CLI バージョン 1.6.3 以降を使用している場合は、必要な入力ファイルを指定する`fileb://`ときに プレフィックスを使用します。これにより AWS Private CA 、 は Base64-encodedされたデータを正しく解析します。
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
--csr file://ca.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=365,Type=DAYS
```
1. ルート証明書を取得します。
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID \
--output text > cert.pem
```
生成されたファイル `cert.pem` は base64 形式でエンコードされた PEM ファイルで、次のような外見をしています。
```
-----BEGIN CERTIFICATE-----
MIIDpzCCAo+gAwIBAgIRAIIuOarlQETlUQEOZJGZYdIwDQYJKoZIhvcNAQELBQAw
bTELMAkGA1UEBhMCVVMxFTATBgNVBAoMDEV4YW1wbGUgQ29ycDEOMAwGA1UECwwF
U2FsZXMxCzAJBgNVBAgMAldBMRgwFgYDVQQDDA93d3cuZXhhbXBsZS5jb20xEDAO
BgNVBAcMB1NlYXR0bGUwHhcNMjEwMzA4MTU0NjI3WhcNMjIwMzA4MTY0NjI3WjBt
MQswCQYDVQQGEwJVUzEVMBMGA1UECgwMRXhhbXBsZSBDb3JwMQ4wDAYDVQQLDAVT
YWxlczELMAkGA1UECAwCV0ExGDAWBgNVBAMMD3d3dy5leGFtcGxlLmNvbTEQMA4G
A1UEBwwHU2VhdHRsZTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMP7
t5AKFZQ7abqkeyUjsBVIWRa9tCh8oge9u/LvCbxU738G4jssT+Oud3WMajIjuNow
cpc+0Q/e42ULO/6gTNrTs6OCOo9lV6G0Dprf/e91DWoKgPatem/pUjNyraifHZfu
b5mLHCfahjWXUQtc/sjmDQaZRK3Kar6ljlUBE/Le9NEyOAIkSLPzDtW8LXm4iwcU
BZrb828rKd1Aw9oI1+3bfzB6xXmzZxc5RLXveOCEhKGD32jKZ/RNFSC8AZAwJe+x
bTsys/lUOYFTuT8Bn0TGxR8x7Y4H75+F9BavY3v+WkLj4M+olN9dMR7Et9FMt4u4
YRokv5zp8zIb5iTne1kCAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4E
FgQUaW3+r328uTLokog2TklmoBK+yt4wDgYDVR0PAQH/BAQDAgGGMA0GCSqGSIb3
DQEBCwUAA4IBAQAXjd/7UZ8RDE+PLWSDNGQdLemOBTcawF+tK+PzA4Evlmn9VuNc
g+x3oZvVZSDQBANUz0b9oPeo54aE38dW1zQm2qfTab8822aqeWMLyJ1dMsAgqYX2
t9+u6w3NzRCw8Pvz18V69+dFE5AeXmNP0Z5/gdz8H/NSpctjlzopbScRZKCSlPid
Rf3ZOPm9QP92YpWyYDkfAU04xdDo1vR0MYjKPkl4LjRqSU/tcCJnPMbJiwq+bWpX
2WJoEBXB/p15Kn6JxjI0ze2SnSI48JZ8it4fvxrhOo0VoLNIuCuNXJOwU17Rdl1W
YJidaq7je6k18AdgPA0Kh8y1XtfUH3fTaVw4
-----END CERTIFICATE-----
```
[OpenSSL](https://www.openssl.org/) を使用して、証明書の内容を表示および検証できます。
```
openssl x509 -in cert.pem -text -noout
```
この出力は次のようになります。
```
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
82:2e:39:aa:e5:40:44:e5:51:01:0e:64:91:99:61:d2
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
Validity
Not Before: Mar 8 15:46:27 2021 GMT
Not After : Mar 8 16:46:27 2022 GMT
Subject: C=US, O=Example Corp, OU=Sales, ST=WA, CN=www.example.com, L=Seattle
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c3:fb:b7:90:0a:15:94:3b:69:ba:a4:7b:25:23:
b0:15:48:59:16:bd:b4:28:7c:a2:07:bd:bb:f2:ef:
09:bc:54:ef:7f:06:e2:3b:2c:4f:e3:ae:77:75:8c:
6a:32:23:b8:da:30:72:97:3e:d1:0f:de:e3:65:0b:
3b:fe:a0:4c:da:d3:b3:a3:82:3a:8f:65:57:a1:b4:
0e:9a:df:fd:ef:75:0d:6a:0a:80:f6:ad:7a:6f:e9:
52:33:72:ad:a8:9f:1d:97:ee:6f:99:8b:1c:27:da:
86:35:97:51:0b:5c:fe:c8:e6:0d:06:99:44:ad:ca:
6a:be:a5:8e:55:01:13:f2:de:f4:d1:32:38:02:24:
48:b3:f3:0e:d5:bc:2d:79:b8:8b:07:14:05:9a:db:
f3:6f:2b:29:dd:40:c3:da:08:d7:ed:db:7f:30:7a:
c5:79:b3:67:17:39:44:b5:ef:78:e0:84:84:a1:83:
df:68:ca:67:f4:4d:15:20:bc:01:90:30:25:ef:b1:
6d:3b:32:b3:f9:54:39:81:53:b9:3f:01:9f:44:c6:
c5:1f:31:ed:8e:07:ef:9f:85:f4:16:af:63:7b:fe:
5a:42:e3:e0:cf:a8:94:df:5d:31:1e:c4:b7:d1:4c:
b7:8b:b8:61:1a:24:bf:9c:e9:f3:32:1b:e6:24:e7:
7b:59
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Subject Key Identifier:
69:6D:FE:AF:7D:BC:B9:32:E8:92:88:36:4E:49:66:A0:12:BE:CA:DE
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
Signature Algorithm: sha256WithRSAEncryption
17:8d:df:fb:51:9f:11:0c:4f:8f:2d:64:83:34:64:1d:2d:e9:
8e:05:37:1a:c0:5f:ad:2b:e3:f3:03:81:2f:96:69:fd:56:e3:
5c:83:ec:77:a1:9b:d5:65:20:d0:04:03:54:cf:46:fd:a0:f7:
a8:e7:86:84:df:c7:56:d7:34:26:da:a7:d3:69:bf:3c:db:66:
aa:79:63:0b:c8:9d:5d:32:c0:20:a9:85:f6:b7:df:ae:eb:0d:
cd:cd:10:b0:f0:fb:f3:d7:c5:7a:f7:e7:45:13:90:1e:5e:63:
4f:d1:9e:7f:81:dc:fc:1f:f3:52:a5:cb:63:97:3a:29:6d:27:
11:64:a0:92:94:f8:9d:45:fd:d9:38:f9:bd:40:ff:76:62:95:
b2:60:39:1f:01:4d:38:c5:d0:e8:d6:f4:74:31:88:ca:3e:49:
78:2e:34:6a:49:4f:ed:70:22:67:3c:c6:c9:8b:0a:be:6d:6a:
57:d9:62:68:10:15:c1:fe:9d:79:2a:7e:89:c6:32:34:cd:ed:
92:9d:22:38:f0:96:7c:8a:de:1f:bf:1a:e1:3a:8d:15:a0:b3:
48:b8:2b:8d:5c:93:b0:53:5e:d1:76:5d:56:60:98:9d:6a:ae:
e3:7b:a9:35:f0:07:60:3c:0d:0a:87:cc:b5:5e:d7:d4:1f:77:
d3:69:5c:38
```
1. ルート CA 証明書をインポートして CA にインストールします。
**注記**
AWS CLI バージョン 1.6.3 以降を使用している場合は、必要な入力ファイルを指定する`fileb://`ときに プレフィックスを使用します。これにより AWS Private CA 、 は Base64-encodedされたデータを正しく解析します。
```
$ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
--certificate file://cert.pem
```
CA の新しいステータスを検査します。
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--output json
```
ステータスは ACTIVE と表示されています。
```
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T12:37:14.235000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
```
## によってホストされる下位 CA 証明書をインストールする AWS Private CA
を使用して AWS マネジメントコンソール 、ホストされた下位 CA の証明書を作成してインストールできます AWS Private CA 。
**AWS Private CA ホストされた下位 CA の証明書を作成してインストールするには**
1. (オプション) CA の詳細ページをまだ開いていない場合は、[https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home) の AWS Private CA コンソールを開きます。**[プライベート認証機関]** ページで、ステータスが**[証明書を保留中]** または **[有効]** の下位 CA を選択します。
1. **[アクション]**、**[CA 証明書をインストール]** を選択し、**[下位 CA 証明書をインストール]** ページを開きます。
1. **下位 CA 証明書のインストール**ページの **CA タイプの選択**で、 によって管理される証明書**AWS Private CA**のインストールを選択します AWS Private CA。
1. **[親 CA を選択]** で、**[親プライベート CA]** リストから CA を選択します。リストは、次の基準を満たす CA が表示されるようにフィルター処理されます。
+ CA を使用する権限が必要です。
+ CA が自己署名することはありません。
+ CA は `ACTIVE` の状態にあります。
+ CA モードは `GENERAL_PURPOSE` です。
1. **[下位 CA 証明書パラメータを指定]** で、次の証明書パラメータを指定します。
+ **[有効性]** — CA 証明書の期限が切れる日時を指定します。
+ **[署名アルゴリズム]** — ルート CA が新しい証明書を発行するときに使用する署名アルゴリズムを指定します。オプション:
+ SHA256 RSA
+ SHA384 RSA
+ SHA512 RSA
+ **[パスの長さ]** — 新しい証明書に署名するときに下位 CA が追加可能な信頼レイヤーの数を指定します。パスの長さが 0 (デフォルト) の場合、エンドエンティティ証明書のみが作成でき、CA 証明書は作成できません。パスの長さが 1 以上の場合は、下位 CA が証明書を発行して、さらに下位の CA を追加作成できます。
+ **[テンプレート ARN]** — この CA 証明書の設定テンプレートの ARN を表示します。指定した **[パスの長さ]** を変更すると、テンプレートも変更されます。CLI の [[issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html)] コマンドまたは API [[IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)] アクションを使用して証明書を作成する場合は、ARN を手動で指定する必要があります。使用可能な CA 証明書テンプレートの詳細については、「[AWS Private CA 証明書テンプレートを使用する](UsingTemplates.md)」を参照してください。
1. 設定が正しいかどうかを確認し、CSR **を確認してインストール**するを選択します。 AWS Private CA 下位 CA 証明書[テンプレート](UsingTemplates.md)を使用して証明書を生成し、選択した親 CA で証明書に署名します。 AWS Private CA その後、 は署名された下位 CA 証明書をインポートします。
1. CA の詳細ページの上部には、インストールのステータス (成功または失敗) が表示されます。インストールが正常に完了すると、新たに完了した下位 CA のステータスが、**[一般]** ペインに **[アクティブ]** と表示されます。
## 外部親 CA によって署名された下位 CA 証明書をインストールする
「」で説明されているように下位プライベート CA を作成したら[でプライベート CA を作成する AWS Private CA](create-CA.md)、外部署名機関によって署名された CA 証明書をインストールしてアクティブ化できます。外部 CA を使用して下位 CA 証明書を署名するには、まず外部の信頼サービスプロバイダーを署名機関として設定するか、サードパーティのプロバイダーの使用を手配する必要があります。
**注記**
外部信頼サービスプロバイダーの作成または取得の手順は、このガイドの対象外です。
下位 CA を作成し、外部の署名機関にアクセスできるようになったら、以下のタスクを実行します。
1. から証明書署名リクエスト (CSR) を取得します AWS Private CA。
1. CSR を外部の署名機関に送信し、署名付き CA 証明書とチェーン証明書を取得します。
1. CA 証明書とチェーンを にインポート AWS Private CA して、下位 CA をアクティブ化します。
詳細な手順については、[外部で署名されたプライベート CA 証明書を使用する](PcaExternalRoot.md) を参照してください。