外部で署名されたプライベート CA 証明書を使用する - AWS Private Certificate Authority

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部で署名されたプライベート CA 証明書を使用する

プライベート CA 階層の信頼のルートが の外部にある必要がある場合は AWS Private CA、独自のルート CA を作成して自己署名できます。または、組織が運営する外部のプライベート CA によって署名されたプライベート CA 証明書を取得することもできます。ソースが何であっても、この外部で取得した CA を使用して、 が AWS Private CA 管理するプライベート下位 CA 証明書に署名できます。

注記

外部信頼サービスプロバイダーの作成または取得の手順は、このガイドの対象外です。

で外部親 CA AWS Private CA を使用すると、RFC 5280 の「名前の制限https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.10」セクションで定義されている CA 名の制約を適用できます。名前制約により、CA 管理者は証明書のサブジェクト名を制限できます。

外部 CA を持つプライベートの下位 CA 証明書に署名する予定の場合、有効な CA を AWS Private CAに導入する前に完了しておくべきタスクが 3 つあります。

  1. 証明書署名リクエスト (CSR) を生成します。

  2. CSR を外部の署名機関に送信し、署名付き証明書と証明書チェーンとともに を返します。

  3. 署名付き証明書を にインストールします AWS Private CA。

次の手順では、 AWS Management Console または AWS CLIを使用してこれらのタスクを実行する方法について説明します。

外部署名付き CA 証明書の取得とインストールを行うには (コンソール)
  1. (オプション) CA の詳細ページをまだ表示していない場合は、https://console.aws.amazon.com/acm-pca/ ホームでコンソールを開きます AWS Private CA 。[プライベート認証局] ページで、ステータスが [証明書保留中][有効][無効]、または [期限切れ] の下位 CA を選択します。

  2. [アクション][CA 証明書をインストール] を選択し、[下位 CA 証明書をインストール] ページを開きます。

  3. [下位 CA 証明書のインストール]ページの [CA タイプの選択] で、[外部プライベート CA] を選択します。

  4. この CA の CSR の下に、コンソールに Base64-encodedされた ASCII テキストが表示されますCSR。コピーボタンを使用してテキストをコピーすることも、CSR をファイルにエクスポートしてローカルに保存することもできます。

    注記

    CSR テキストの正確な形式は、コピーおよび貼り付け時に保持する必要があります。

  5. 外部の署名機関から署名付き証明書を取得するためのオフライン手順をすぐに実行できない場合は、ページを一度閉じて、署名付き証明書と証明書チェーンを入手してからもう一度開いてみてください。

    それ以外の場合は、準備ができたら、次のいずれかを行います。

    • 証明書本文と証明書チェーンの Base64-encodedされた ASCII テキストをそれぞれのテキストボックスに貼り付けます。

    • [アップロード] を選択して、証明書本文と証明書チェーンをローカルファイルからそれぞれのテキストボックスにロードします。

  6. [確認してインストール] を選択します。

外部署名付き CA 証明書を取得してインストールするには (CLI)
  1. get-certificate-authority-csr コマンドを使用して、プライベート CA の証明書署名リクエスト (CSR) を取得します。CSR をディスプレイに送信する場合は、 --output textオプションを使用して、各行の末尾から CR/LF 文字を削除します。CSR をファイルに送信するには、リダイレクトオプション (>) の後にファイル名を使用します。

    $ aws acm-pca get-certificate-authority-csr \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \ --output text

    CSR をローカルファイルとして保存した後、次の OpenSSL コマンドを使用してその単語を検査できます。

    openssl req -in path_to_CSR_file -text -noout

    このコマンドを処理すると、次のような出力が生成されます。CA 拡張機能は でありTRUE、そのCSRが CA 証明書用であることを示します。

    Certificate Request: Data: Version: 0 (0x0) Subject: O=ExampleCompany, OU=Corporate Office, CN=Example CA 1 Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:d4:23:51:b3:dd:01:09:01:0b:4c:59:e4:ea:81: 1d:7f:48:36:ef:2a:e9:45:82:ec:95:1d:c6:d7:c9: 7f:19:06:73:c5:cd:63:43:14:eb:c8:03:82:f8:7b: c7:89:e6:8d:03:eb:b6:76:58:70:f2:cb:c3:4c:67: ea:50:fd:b9:17:84:b8:60:2c:64:9d:2e:d5:7d:da: 46:56:38:34:a9:0d:57:77:85:f1:6f:b8:ce:73:eb: f7:62:a7:8e:e6:35:f5:df:0c:f7:3b:f5:7f:bd:f4: 38:0b:95:50:2c:be:7d:bf:d9:ad:91:c3:81:29:23: b2:5e:a6:83:79:53:f3:06:12:20:7e:a8:fa:18:d6: a8:f3:a3:89:a5:a3:6a:76:da:d0:97:e5:13:bc:84: a6:5c:d6:54:1a:f0:80:16:dd:4e:79:7b:ff:6d:39: b5:67:56:cb:02:6b:14:c3:17:06:0e:7d:fb:d2:7e: 1c:b8:7d:1d:83:13:59:b2:76:75:5e:d1:e3:23:6d: 8a:5e:f5:85:ca:d7:e9:a3:f1:9b:42:9f:ed:8a:3c: 14:4d:1f:fc:95:2b:51:6c:de:8f:ee:02:8c:0c:b6: 3e:2d:68:e5:f8:86:3f:4f:52:ec:a6:f0:01:c4:7d: 68:f3:09:ae:b9:97:d6:fc:e4:de:58:58:37:09:9a: f6:27 Exponent: 65537 (0x10001) Attributes: Requested Extensions: X509v3 Basic Constraints: CA:TRUE Signature Algorithm: sha256WithRSAEncryption c5:64:0e:6c:cf:11:03:0b:b7:b8:9e:48:e1:04:45:a0:7f:cc: a7:fd:e9:4d:c9:00:26:c5:6e:d0:7e:69:7a:fb:17:1f:f3:5d: ac:f3:65:0a:96:5a:47:3c:c1:ee:45:84:46:e3:e6:05:73:0c: ce:c9:a0:5e:af:55:bb:89:46:21:92:7b:10:96:92:1b:e6:75: de:02:13:2d:98:72:47:bd:b1:13:1a:3d:bb:71:ae:62:86:1a: ee:ae:4e:f4:29:2e:d6:fc:70:06:ac:ca:cf:bb:ee:63:68:14: 8e:b2:8f:e3:8d:e8:8f:e0:33:74:d6:cf:e2:e9:41:ad:b6:47: f8:2e:7d:0a:82:af:c6:d8:53:c2:88:a0:32:05:09:e0:04:8f: 79:1c:ac:0d:d4:77:8e:a6:b2:5f:07:f8:1b:e3:98:d4:12:3d: 28:32:82:b5:50:92:a4:b2:4c:28:fc:d2:73:75:75:ff:10:33: 2c:c0:67:4b:de:fd:e6:69:1c:a8:bb:e8:31:93:07:35:69:b7: d6:53:37:53:d5:07:dd:54:35:74:50:50:f9:99:7d:38:b7:b6: 7f:bd:6c:b8:e4:2a:38:e5:04:00:a8:a3:d9:e5:06:38:e0:38: 4c:ca:a9:3c:37:6d:ba:58:38:11:9c:30:08:93:a5:62:00:18: d1:83:66:40
  2. CSR を外部の署名機関に送信し、Base64 PEM でエンコードされた署名付き証明書と証明書チェーンを含むファイルを取得します。

  3. import-certificate-authority-certificate コマンドを使用して、プライベート CA 証明書ファイルとチェーンファイルを にインポートします AWS Private CA。

    $ aws acm-pca import-certificate-authority-certificate \ --certificate-authority-arn arn:aws:acm-pca:region:account:\ certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate file://C:\example_ca_cert.pem \ --certificate-chain file://C:\example_ca_cert_chain.pem