翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
でプライベート CA を更新する AWS Private Certificate Authority
プライベート CA を作成すると、そのステータスを更新したり、失効設定を変更したりできます。このトピックでは、CA ステータスと CA ライフサイクルの詳細と、CAs に対するコンソールと CLI の更新の例を示します。
CA を更新する (コンソール)
次の手順は、 AWS Management Consoleを使用して既存の CA 設定を更新する方法を示しています。
CA ステータスの更新 (コンソール)
この例では、有効な CA のステータスが無効に変更されます。
CA のステータスを更新するには
-
AWS アカウントにサインインし、https://console.aws.amazon.com/acm-pca/ ホーム
で AWS Private CA コンソールを開きます。 -
[プライベート認証機関] ページで、現在アクティブなプライベート CA をリストから選択します。
-
[アクション] メニューで [無効化] を選択してプライベート CA を無効化します。
CA の失効設定の更新 (コンソール)
プライベート CA の失効設定を更新するには、例えば、OCSP または CRL サポートを追加または削除したり、設定を変更したりできます。
注記
CA の失効設定を変更しても、既に発行された証明書には影響しません。マネージド失効を有効にするには、古い証明書を再発行する必要があります。
OCSP では、次の設定を変更します。
-
OCSP を有効または無効にします。
-
カスタム OCSP 完全修飾ドメイン名 (FQDN) を有効または無効にします。
-
FQDNを変更します。
CRL では、次のいずれかの設定を変更できます。
-
プライベート CA が証明書失効リストを生成するかどうか (CRL)
-
CRL の有効期限が切れるまでの日数。は、指定した日数の半分でCRLを再生成し AWS Private CA 始めます。
-
CRL が保存されている Amazon S3 バケットの名前。
-
Amazon S3 バケット名をパブリックビューから隠すためのエイリアス。
重要
前述のいずれかのパラメータを変更すると、悪影響が生じることがあります。例としては、CRL 生成の無効化、有効期間の変更、プライベート CA を本番環境に配置した後の S3 バケットの変更などがあります。このような変更により、CRL と現在の CRL 設定に依存する既存の証明書が破損する可能性があります。エイリアスの変更は、古いエイリアスが正しいバケットにリンクされた状態である限り、安全に実行できます。
失効設定を更新するには
-
AWS アカウントにサインインし、https://console.aws.amazon.com/acm-pca/ ホーム
で AWS Private CA コンソールを開きます。 -
[プライベート認証機関] ページで、リストからプライベート CA を選択します。すると、CA の詳細パネルが開きます。
-
[失効設定] タブを選択し、[編集] を選択します。
-
[証明書失効オプション] には、2 つのオプションが表示されます。
-
CRL ディストリビューションをアクティブ化する
-
OCSP を有効にする
CA では、これらの失効メカニズムのいずれかを設定することも、いずれも設定しないことも、両方を設定することもできます。任意ではありますが、ベストプラクティスとしてはマネージド失効が推奨されます。このステップを完了する前に、各方法の利点、必要となる事前設定、その他の失効機能に関する情報について、「AWS Private CA 証明書失効メソッドを計画する」を参照してください。
-
-
CRL ディストリビューションのアクティブ化を選択します。
-
CRL エントリ用の Amazon S3 バケットを作成するには、新しい S3 バケットを作成する を選択します。一意のバケット名を指定します。(バケットへのパスを含める必要はありません)。それ以外の場合は、このオプションを選択しないで、[S3 バケット名] リストから既存のバケットを選択してください。
新しいバケットを作成すると、 は必要なアクセスポリシー AWS Private CA を作成してアタッチします。既存のバケットを使用する場合は、CRLs の生成を開始する前にアクセスポリシーをアタッチする必要があります。Amazon S3 CRLsの のアクセスポリシー で説明されているポリシーパターンのいずれかを使用してください。ポリシーのアタッチについては、「Amazon S3 コンソールを使用したバケットポリシーの追加」を参照してください。
注記
AWS Private CA コンソールを使用している場合、次の条件の両方が適用されると、CA の作成は失敗します。
-
Amazon S3 バケットまたはアカウントでパブリックアクセスブロック設定を実施しています。
-
Amazon S3 バケットを自動的に作成 AWS Private CA するように に依頼しました。
この場合、コンソールはデフォルトでパブリックにアクセス可能なバケットを作成しようとしますが、Amazon S3 はこのアクションを拒否します。このような場合は、Amazon S3 設定を確認してください。詳細については、「Amazon S3 ストレージへのパブリックアクセスのブロック」を参照してください。
-
-
追加の設定オプションを表示するには、[アドバンスト] を展開します。
-
カスタムCRL名を追加して、Amazon S3 バケットのエイリアスを作成します。この名前は、Word 5280 RFC で定義されるCRL Distribution Points」拡張子の CA によって発行された証明書に含まれています。
-
CRL が有効な日数を入力します。デフォルト値は 7 日です。オンライン CRLs の場合、有効期間は 2~7 日です。 は、指定した期間の中間に CRL を再生成 AWS Private CA しようとします。
-
-
完了したら、[変更を保存] を選択します。
-
証明書の失効ページで、OCSPを有効にするを選択します。
-
(オプション) Custom OCSP エンドポイントフィールドに、FQDN エンドポイントの完全修飾ドメイン名 (OCSP) を指定します。
このフィールドで FQDN を指定すると、 はFQDN レスポンダーのデフォルト Word の代わりに、発行された各証明書の Authority Information Access 拡張機能に URL AWS OCSP AWS Private CA を挿入します。エンドポイントは、カスタム FQDN を含む証明書を受信すると、そのアドレスに OCSP レスポンスをクエリします。このメカニズムを機能させるには、さらに 2 つのアクションを実行する必要があります。
-
プロキシサーバーを使用して、カスタム FQDN に到着したトラフィックを AWS OCSP レスポンダーに転送します。
-
対応する CNAME レコードを DNS データベースに追加します。
ヒント
カスタム OCSP を使用した完全な CNAME ソリューションの実装の詳細については、「」を参照してくださいOCSP URL のカスタマイズ AWS Private CA。
例えば、Amazon Route 53 に表示されるように、カスタマイズされた Word の OCSP CNAMEレコードを次に示します。
レコード名 タイプ ルーティングポリシー 差別化要因 値/トラフィックのルーティング先 alternative.example.com
CNAME 低 - proxy.example.com 注記
CNAME の値には、「http://"」や「https://".」などのプロトコルプレフィックスを含めることはできません。
-
-
完了したら、[変更を保存] を選択します。
CA の更新 (CLI)
以下の手順は、 AWS CLIを使用して既存の CA のステータスと失効設定を更新する方法を示しています。
注記
CA の失効設定を変更しても、既に発行された証明書には影響しません。マネージド失効を有効にするには、古い証明書を再発行する必要があります。
プライベート CA のステータスを更新するには (AWS CLI)
update-certificate-authority コマンドを使用します。
これは、ステータスが DISABLED の既存の CA を ACTIVE に設定する場合に便利です。まず、以下のコマンドで CA の初期ステータスを確認します。
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
この結果、次のような出力が得られます。
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}以下のコマンドは、プライベート CA のステータスを ACTIVE に設定します。これは CA に有効な証明書がインストールされている場合にのみ可能です。
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --status "ACTIVE"
CA の新しいステータスを検査します。
$aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \ --output json
ステータスは ACTIVE と表示されています。
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}場合によっては、アクティブな CA に失効メカニズムが設定されていないことがあります。証明書失効リスト (CRL) の使用を開始する場合は、次の手順を使用します。
既存の CA にCRLを追加するには (AWS CLI)
-
次のコマンドを使用して、CA の現在のステータスを調べます。
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output json出力は、CA のステータスは
ACTIVEですが、CRL を使用するように設定されていないことを確認します。{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
CRL 設定パラメータを定義する
revoke_config.txtために、 などの名前でファイルを作成して保存します。{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" } }注記
Matter デバイス認証 CA を更新して CRLs を有効にする場合は、現在の Matter 標準に準拠できるように、発行された証明書から CDP 拡張を省略するように設定する必要があります。これを行うには、以下に示すように CRL 設定パラメータを定義します。
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":7, "S3BucketName": "amzn-s3-demo-bucket" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
update-certificate-authority コマンドと失効設定ファイルを使用して CA を更新します。
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
CA のステータスをもう一度調べます。
$aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output json出力では、CA が CRL を使用するように設定されていることが確認されます。
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "amzn-s3-demo-bucket", }, "OcspConfiguration": { "Enabled": false } } } }場合によっては、前の手順のように OCSP を有効にする代わりに、CRL 失効のサポートを追加することもできます。その場合は、次の手順に従ってください。
既存の CA に OCSP サポートを追加するには (AWS CLI)
-
OCSP パラメータを定義する
revoke_config.txtために、 などの名前のファイルを作成して保存します。{ "OcspConfiguration":{ "Enabled":true } } -
update-certificate-authority コマンドと失効設定ファイルを使用して CA を更新します。
$aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --revocation-configuration file://revoke_config.txt -
CA のステータスをもう一度調べます。
$aws acm-pca describe-certificate-authority --certificate-authority-arnarn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566--output json出力では、CA が OCSP を使用するように設定されていることが確認されます。
{ "CertificateAuthority": { "Arn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
注記
CA で CRL と OCSP のサポートの両方を設定することもできます。
