翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
プライベート CA を作成すると、そのステータスを更新したり、失効設定を変更したりできます。このトピックでは、CA のステータスと CA ライフサイクルの詳細と、CA のコンソールと CLI 更新の例について説明します。
CA を更新する (コンソール)
次の手順は、 AWS Management Consoleを使用して既存の CA 設定を更新する方法を示しています。
CA ステータスの更新 (コンソール)
この例では、有効な CA のステータスが無効に変更されます。
CA のステータスを更新するには
-
AWS アカウントにサインインし、 AWS Private CA コンソールを https://console.aws.amazon.com/acm-pca/home
://www. -
[プライベート認証機関] ページで、現在アクティブなプライベート CA をリストから選択します。
-
[アクション] メニューで [無効化] を選択してプライベート CA を無効化します。
CA の失効設定の更新 (コンソール)
プライベート CA の失効設定を更新するには、例えば OCSP または CRL のサポートを追加または削除するか、それらの設定を変更します。
注記
CA の失効設定を変更しても、既に発行された証明書には影響しません。マネージド失効を有効にするには、古い証明書を再発行する必要があります。
OCSP では以下の設定を変更します。
-
OCSP の有効化または無効化。
-
カスタム OCSP 完全修飾ドメイン名 (FQDN) の有効化または無効化。
-
FQDN の変更。
CRL では以下のいずれかの設定を変更します。
-
CRL タイプ (完全またはパーティション化)
-
プライベート CA が証明書失効リスト (CRL) を生成するかどうか
-
CRL の有効期限が切れるまでの日数。は、指定した日数の半分で CRL の再生成を試行し AWS Private CA 始めます。
-
CRL の保存先の Amazon S3 バケットの名前。
-
Amazon S3 バケット名をパブリックビューから隠すためのエイリアス。
重要
前述のいずれかのパラメータを変更すると、悪影響が生じることがあります。例としては、CRL 生成の無効化、有効期間の変更、プライベート CA を本番環境に移行した後の S3 バケットの変更などがあります。このような変更を行うと、CRL と現在の CRL 設定に依存する既存の証明書が破損する可能性があります。エイリアスの変更は、古いエイリアスが正しいバケットにリンクされた状態である限り、安全に実行できます。
失効設定を更新するには
-
AWS アカウントにサインインし、 AWS Private CA コンソールを https://console.aws.amazon.com/acm-pca/home
://www.com で開きます。 -
[プライベート認証機関] ページで、リストからプライベート CA を選択します。すると、CA の詳細パネルが開きます。
-
[失効設定] タブを選択し、[編集] を選択します。
-
[証明書失効オプション] には、2 つのオプションが表示されます。
-
[CRL のディストリビューションをアクティブ化]
-
[OCSP をオンにする]
CA では、これらの失効メカニズムのいずれかを設定することも、いずれも設定しないことも、両方を設定することもできます。任意ではありますが、ベストプラクティスとしてはマネージド失効が推奨されます。このステップを完了する前に、各方法の利点、必要となる事前設定、その他の失効機能に関する情報について、「AWS Private CA 証明書失効方法を計画する」を参照してください。
-
-
「CRL のディストリビューションを有効化」を選択します。
-
CRL エントリ用の Amazon S3 バケットを作成するには、「新しい S3 バケットを作成」を選択してください。一意のバケット名を指定します。(バケットへのパスを含める必要はありません)。それ以外の場合は、このオプションを選択しないで、[S3 バケット名] リストから既存のバケットを選択してください。
新しいバケットを作成すると、 は必要なアクセスポリシー AWS Private CA を作成してアタッチします。既存のバケットを使用する場合は、CRL の生成を開始する前にそのバケットにアクセスポリシーをアタッチする必要があります。Amazon S3 の CRL のアクセスポリシー で説明されているポリシーパターンのいずれかを使用してください。ポリシーのアタッチについては、「Amazon S3 コンソールを使用したバケットポリシーの追加」を参照してください。
注記
AWS Private CA コンソールを使用している場合、次の条件の両方が適用されると、CA の作成は失敗します。
-
Amazon S3 バケットまたはアカウントでパブリックアクセスブロック設定を実施しています。
-
Amazon S3 バケットを自動的に作成 AWS Private CA するように に指示しました。
この場合、コンソールはデフォルトでパブリックにアクセス可能なバケットを作成しようとしますが、Amazon S3 はこのアクションを拒否します。このような場合は、Amazon S3 設定を確認してください。詳細については、「Amazon S3 ストレージへのパブリックアクセスのブロック」を参照してください。
-
-
追加の設定オプションを表示するには、[アドバンスト] を展開します。
-
パーティショニングを有効にする を選択して、CRLsのパーティショニングを有効にします。パーティショニングを有効にしない場合、CA にはAWS Private Certificate Authority クォータに表示される失効した証明書の最大数が適用されます。パーティション分割された CRLs「CRL タイプ」を参照してください。
-
カスタム CRL 名を追加して、Amazon S3 バケットのエイリアスを作成します。この名前は、RFC 5280 で定義されている「CRL ディストリビューションポイント」拡張で CA が発行した証明書に含まれています。
-
カスタムパスを追加して、Amazon S3 バケット内のファイルパスの DNS エイリアスを作成します。
-
CRL が有効な日数で Validity を入力します。デフォルト値は 7 日です。オンライン CRL の場合、有効期間は 2~7 日が一般的です。 AWS Private CA は指定した期間の中間で CRL の再生成を試みます。
-
-
完了したら、[変更を保存] を選択します。
-
[証明書失効] ページで [OCSP をオンにする] を選択します。
-
(任意)[カスタム OCSP エンドポイント] フィールドに、OCSP エンドポイントの完全修飾ドメイン名 (FQDN) を入力します。
このフィールドに FQDN を指定すると、 は OCSP レスポンダーのデフォルト URL の代わりに、発行された各証明書の Authority Information Access 拡張機能に FQDN AWS AWS Private CA を挿入します。エンドポイントは、カスタム FQDN を含む証明書を受け取ると、そのアドレスに OCSP レスポンスを問い合わせます。このメカニズムを機能させるには、さらに 2 つのアクションを実行する必要があります。
-
プロキシサーバーを使用して、カスタム FQDN に到着したトラフィックを AWS OCSP レスポンダーに転送します。
-
対応する CNAME レコードを DNS データベースに追加します。
ヒント
カスタム CNAME を使用して完全な OCSP ソリューションを実装する方法の詳細については、「の OCSP URL をカスタマイズする AWS Private CA」を参照してください。
例えば、Amazon Route 53 に表示されるようにカスタマイズされた OCSP の CNAME レコードを次に示します。
レコード名 タイプ ルーティングポリシー 差別化要因 値/トラフィックのルーティング先 alternative.example.com
CNAME 低 - proxy.example.com 注記
CNAME の値には、「http://」や「https://」などのプロトコルプレフィックスを含めることはできません。
-
-
完了したら、[変更を保存] を選択します。
CA の更新 (CLI)
以下の手順は、 AWS CLIを使用して既存の CA のステータスと失効設定を更新する方法を示しています。
注記
CA の失効設定を変更しても、既に発行された証明書には影響しません。マネージド失効を有効にするには、古い証明書を再発行する必要があります。
プライベート CA のステータスを更新するには (AWS CLI)
update-certificate-authority コマンドを使用します。
これは、ステータスが DISABLED の既存の CA を ACTIVE に設定する場合に便利です。まず、以下のコマンドで CA の初期ステータスを確認します。
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
この結果、次のような出力が得られます。
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}以下のコマンドは、プライベート CA のステータスを ACTIVE に設定します。これは CA に有効な証明書がインストールされている場合にのみ可能です。
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --status "ACTIVE"
CA の新しいステータスを検査します。
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
ステータスは ACTIVE と表示されています。
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}場合によっては、アクティブな CA に失効メカニズムが設定されていないことがあります。証明書失効リスト (CRL) の使用を開始する場合は、次の手順を使用します。
CRL を既存の CA に追加するには (AWS CLI)
-
次のコマンドを使用して、CA の現在のステータスを調べます。
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output json出力から、CA のステータスは
ACTIVEであっても CRL を使用するようには設定されていないことが確認されます。{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
CRL 設定パラメータを定義するファイルを、
revoke_config.txtのような名前で作成して保存します。{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" } }注記
Matter デバイス認証 CA を更新して CRLs を有効にする場合は、現在の Matter 標準に準拠できるように、発行された証明書から CDP 拡張機能を省略するように設定する必要があります。これを行うには、次に示すように CRL 設定パラメータを定義します。
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
update-certificate-authority コマンドと失効設定ファイルを使用して、CA を更新します。
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
CA のステータスをもう一度調べます。
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output json出力から、今は CA が CRL を使用するように設定されていることが確認されます。
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "amzn-s3-demo-bucket", }, "OcspConfiguration": { "Enabled": false } } } }場合によっては、前の手順のように CRL を有効にする代わりに、OCSP 失効サポートを追加する必要があります。その場合は、次の手順に従ってください。
既存の CA に OCSP サポートを追加するには (AWS CLI)
-
OCSP パラメータを定義するファイルを、
revoke_config.txtのような名前で作成して保存します。{ "OcspConfiguration":{ "Enabled":true } } -
update-certificate-authority コマンドと失効設定ファイルを使用して、CA を更新します。
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
CA のステータスをもう一度調べます。
$aws acm-pca describe-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output json出力から、今は CA が OCSP を使用するように設定されていることが確認されます。
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
注記
CA では CRL と OCSP の両方のサポートを設定することもできます。
