翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
でプライベート CA を更新する AWS Private Certificate Authority
プライベート CA を作成すると、そのステータスを更新したり、失効設定を変更したりできます。このトピックでは、CA ステータスと CA ライフサイクルの詳細と、コンソールの例と CLIの更新について説明しますCAs。
CA を更新する (コンソール)
次の手順は、 AWS Management Consoleを使用して既存の CA 設定を更新する方法を示しています。
CA ステータスの更新 (コンソール)
この例では、有効な CA のステータスが無効に変更されます。
CA のステータスを更新するには
-
AWS アカウントにサインインし、https://console.aws.amazon.com/acm-pca/自宅で
AWS Private CA コンソールを開きます。 -
[プライベート認証機関] ページで、現在アクティブなプライベート CA をリストから選択します。
-
[アクション] メニューで [無効化] を選択してプライベート CA を無効化します。
CA の失効設定の更新 (コンソール)
プライベート CA の失効設定を更新するには、例えば、 OCSP または CRL サポートを追加または削除したり、設定を変更したりできます。
注記
CA の失効設定を変更しても、既に発行された証明書には影響しません。マネージド失効を有効にするには、古い証明書を再発行する必要があります。
ではOCSP、次の設定を変更します。
-
を有効または無効にしますOCSP。
-
カスタムOCSP完全修飾ドメイン名 () を有効または無効にしますFQDN。
-
を変更しますFQDN。
ではCRL、次のいずれかの設定を変更できます。
-
プライベート CA が証明書失効リストを生成するかどうか (CRL)
-
CRL の有効期限が切れるまでの日数。は、指定した日数の 1/2 CRLに を再生成し AWS Private CA 始めます。
-
CRL が保存されている Amazon S3 バケットの名前。
-
Amazon S3 バケット名をパブリックビューから隠すためのエイリアス。
重要
前述のいずれかのパラメータを変更すると、悪影響が生じることがあります。例としては、CRL生成の無効化、有効期間の変更、プライベート CA を本番環境に配置した後の S3 バケットの変更などがあります。このような変更は、 CRLと現在のCRL設定に依存する既存の証明書を破損する可能性があります。エイリアスの変更は、古いエイリアスが正しいバケットにリンクされた状態である限り、安全に実行できます。
失効設定を更新するには
-
AWS アカウントにサインインし、https://console.aws.amazon.com/acm-pca/ホーム
で AWS Private CA コンソールを開きます。 -
[プライベート認証機関] ページで、リストからプライベート CA を選択します。すると、CA の詳細パネルが開きます。
-
[失効設定] タブを選択し、[編集] を選択します。
-
[証明書失効オプション] には、2 つのオプションが表示されます。
-
CRLディストリビューションをアクティブ化する
-
オンにする OCSP
CA では、これらの失効メカニズムのいずれかを設定することも、いずれも設定しないことも、両方を設定することもできます。任意ではありますが、ベストプラクティスとしてはマネージド失効が推奨されます。このステップを完了する前に、各方法の利点、必要となる事前設定、その他の失効機能に関する情報について、「AWS Private CA 証明書失効メソッドを計画する」を参照してください。
-
-
CRL ディストリビューションのアクティブ化 を選択します。
-
CRL エントリの Amazon S3 バケットを作成するには、新しい S3 バケットの作成 を選択します。一意のバケット名を指定します。(バケットへのパスを含める必要はありません)。それ以外の場合は、このオプションを選択しないで、[S3 バケット名] リストから既存のバケットを選択してください。
新しいバケットを作成すると、 は必要なアクセスポリシー AWS Private CA を作成してアタッチします。既存のバケットを使用する場合は、 の生成を開始する前にアクセスポリシーをアタッチする必要がありますCRLs。Amazon S3 CRLsの のアクセスポリシー で説明されているポリシーパターンのいずれかを使用してください。ポリシーのアタッチについては、「Amazon S3 コンソールを使用したバケットポリシーの追加」を参照してください。
注記
AWS Private CA コンソールを使用している場合、次の条件の両方が適用されると、CA の作成は失敗します。
-
Amazon S3 バケットまたはアカウントでパブリックアクセスブロック設定を実施しています。
-
Amazon S3 バケットを自動的に作成 AWS Private CA するように求められました。
この場合、コンソールはデフォルトでパブリックにアクセス可能なバケットを作成しようとしますが、Amazon S3 はこのアクションを拒否します。このような場合は、Amazon S3 設定を確認してください。詳細については、「Amazon S3 ストレージへのパブリックアクセスのブロック」を参照してください。
-
-
追加の設定オプションを表示するには、[アドバンスト] を展開します。
-
カスタムCRL名を追加して、Amazon S3 バケットのエイリアスを作成します。この名前は、5280 で定義されるCRL「ディストリビューションポイント」拡張機能の CA RFC によって発行された証明書に含まれています。
-
が引き続き有効CRLになる日数を入力します。デフォルト値は 7 日です。オンライン の場合CRLs、有効期間は 2~7 日です。 AWS Private CA は、指定された期間の中間CRL時点で を再生成しようとします。
-
-
完了したら、[変更を保存] を選択します。
-
証明書の失効ページで、「 をオンにするOCSP」を選択します。
-
(オプション) カスタムOCSPエンドポイントフィールドに、OCSPエンドポイントの完全修飾ドメイン名 (FQDN) を指定します。
このフィールドFQDNで を指定すると、 はレスポンダーURLのデフォルトの代わりに、発行された各証明書の Authority Information Access 拡張機能FQDNに AWS Private CA を挿入します AWS OCSP。エンドポイントは、カスタム を含む証明書を受信するとFQDN、そのアドレスにOCSPレスポンスをクエリします。このメカニズムを機能させるには、さらに 2 つのアクションを実行する必要があります。
-
プロキシサーバーを使用して、カスタムに到着したトラフィックFQDNを AWS OCSPレスポンダーに転送します。
-
対応するCNAMEレコードをDNSデータベースに追加します。
ヒント
カスタム を使用した完全なOCSPソリューションの実装の詳細についてはCNAME、「」を参照してくださいOCSP URL のカスタマイズ AWS Private CA。
例えば、Amazon Route 53 に表示されるOCSPようにカスタマイズされた CNAMEのレコードを次に示します。
レコード名 タイプ ルーティングポリシー 差別化要因 値/トラフィックのルーティング先 alternative.example.com
CNAME 低 - proxy.example.com 注記
の値は、http://"」やhttps://".」などのプロトコルプレフィックスを含めCNAMEないでください。
-
-
完了したら、[変更を保存] を選択します。
CA の更新 (CLI)
以下の手順は、 AWS CLIを使用して既存の CA のステータスと失効設定を更新する方法を示しています。
注記
CA の失効設定を変更しても、既に発行された証明書には影響しません。マネージド失効を有効にするには、古い証明書を再発行する必要があります。
プライベート CA のステータスを更新するには (AWS CLI)
update-certificate-authority コマンドを使用します。
これは、ステータスが DISABLED の既存の CA を ACTIVE に設定する場合に便利です。まず、以下のコマンドで CA の初期ステータスを確認します。
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
この結果、次のような出力が得られます。
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}以下のコマンドは、プライベート CA のステータスを ACTIVE に設定します。これは CA に有効な証明書がインストールされている場合にのみ可能です。
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --status "ACTIVE"
CA の新しいステータスを検査します。
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
ステータスは ACTIVE と表示されています。
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}場合によっては、アクティブな CA に失効メカニズムが設定されていないことがあります。証明書失効リスト (CRL) の使用を開始する場合は、次の手順を使用します。
CRL を既存の CA に追加するには (AWS CLI)
-
次のコマンドを使用して、CA の現在のステータスを調べます。
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output json出力は、CA のステータスはある
ACTIVEが、 を使用するように設定されていないことを確認しますCRL。{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
などの名前のファイルを作成して保存
revoke_config.txtし、CRL設定パラメータを定義します。{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" } }注記
Matter デバイス認証 CA を更新して を有効にする場合はCRLs、現在の Matter 標準に準拠できるように、発行された証明書からCDP拡張機能を省略するように設定する必要があります。これを行うには、次のようにCRL設定パラメータを定義します。
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
update-certificate-authority コマンドと失効設定ファイルを使用して CA を更新します。
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
CA のステータスをもう一度調べます。
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output json出力は、CA が を使用するように設定されていることを確認しますCRL。
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "amzn-s3-demo-bucket", }, "OcspConfiguration": { "Enabled": false } } } }場合によっては、前の手順CRLのように を有効にするのではなくOCSP、失効サポートを追加することもできます。その場合は、次の手順に従ってください。
既存の CA にOCSPサポートを追加するには (AWS CLI)
-
などの名前のファイルを作成して保存
revoke_config.txtし、OCSPパラメータを定義します。{ "OcspConfiguration":{ "Enabled":true } } -
update-certificate-authority コマンドと失効設定ファイルを使用して CA を更新します。
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
CA のステータスをもう一度調べます。
$aws acm-pca describe-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output json出力は、CA が を使用するように設定されていることを確認しますOCSP。
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
注記
CA で CRLと OCSP サポートの両方を設定することもできます。
