AWS Private CA CA ステータスを理解する - AWS Private Certificate Authority
CA ステータスと CA ライフサイクルの関係

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Private CA CA ステータスを理解する

によって管理される CA のステータスは、ユーザーアクション AWS Private CA 、または場合によってはサービスアクションの結果です。例えば、CA のステータスは有効期限が切れると変化します。CA 管理者が使用できるステータスオプションは、CA の現在のステータスによって異なります。

AWS Private CA は、次のステータス値をレポートできます。この表には、各状態で使用可能な CA 機能が示されています。

注記

DELETEDFAILED 以外のすべてのステータス値では、CA に対して課金されます。

ステータス 証明書の発行 OCSP で証明書を検証する CRLsの生成 監査の生成 CA 証明書を更新可能 証明書を取り消し可能 CA に料金が発生します
CREATING — CA を作成中です。 なし いいえ いいえ いいえ いいえ いいえ はい

PENDING_CERTIFICATE — CA が作成され、証明書を運用可能にする必要があります。*

 なし いいえ いいえ いいえ いいえ いいえ はい
ACTIVE はい はい はい はい はい はい はい
DISABLED — CA を手動で無効にしました。 いいえ はい はい はい いいえ はい はい
EXPIRED — CA 証明書の有効期限が切れています。** なし いいえ いいえ いいえ はい いいえ はい
FAILED CreateCertificateAuthority アクションが失敗しました。これは、ネットワークの停止、バックエンド障害 AWS 、またはその他のエラーが原因で発生する可能性があります。障害が生じた CA は回復できません。CA を削除し、新しいCA を作成してください。 なし
DELETED CA は復元期間内です。復元期間は 7~30 日間です。この期間が過ぎると、完全に削除されます。

  • DELETED ステータスが で証明書の有効期限が切れている CA RestoreCertificateAuthority で API を呼び出すと、CA は に設定されますEXPIRED

  • CA の削除の詳細については、「プライベート CA の削除」を参照してください。

 なし

アクティベーションを完了するには、CSR を生成し、CA から署名付き CA 証明書を取得し、証明書を にインポートする必要があります AWS Private CA。CSR は、新しい CA (自己署名用) またはオンプレミスのルート CA または下位 CA に送信できます。詳細については、「CA 証明書のインストール」を参照してください。

有効期限切れ CA のステータスを直接変更することはできません。CA の新しい証明書をインポートすると、証明書の有効期限DISABLEDが切れる前に に設定されACTIVEない限り、 はステータスを に AWS Private CA リセットします。

期限切れの CA 証明書に関するその他の考慮事項:

  • CA 証明書は自動的には更新されません。による更新の自動化については AWS Certificate Manager、「」を参照してくださいACM に証明書の更新許可を割り当てる

  • CA の有効期限が切れた新しい証明書を発行しようとすると、API IssueCertificate は を返しますInvalidStateException。有効期限切れのルート CA は、新しい下位証明書を発行する前に、新しいルート CA 証明書に自己署名する必要があります。

  • The ListCertificateAuthorities および DescribeCertificateAuthority APIs は、CA ステータスが ACTIVEまたは に設定されているかどうかにかかわらず、CA 証明書の有効期限が切れEXPIREDた場合に のステータスを返しますDISABLED。ただし、期限切れ CA が DELETED に設定されている場合、DELETED のステータスを返します。

  • API UpdateCertificateAuthority は期限切れ CA のステータスを更新できません。

  • API は、CA RevokeCertificate 証明書を含む期限切れの証明書を取り消すためには使用できません。

CA ステータスと CA ライフサイクルの関係

次の図は、管理アクションと CA ステータスの相互作用としての CA ライフサイクルを示しています。

CA 管理アクションとステータスの相互作用。
ダイアグラムキー
Blue fabric swatch with a repeating pattern of white polka dots.

管理アクション
Blue parallelogram shape with angled sides and sharp corners.
CA ステータス
Blue arrow pointing to the right, indicating direction or progression.

アクションによって状態が変化します
Blue arrow pointing right, composed of five dots increasing in size from left to right.

新しい状態によって新しいアクションが可能になります

図の上部にある管理アクションは、コンソール、CLI、または API を通じて AWS Private CA 適用されます。これらのアクションによって、CA の作成、アクティベーション、失効、更新が実行されます。手動操作または自動更新に応じて、CA ステータスが変化します (上記の図では実線で示しています)。ほとんどの場合、新しいステータスによって、CA 管理者は新しいアクション (図では点線で表示) を実行できるようになります。上記の図の右下部分には、削除および復元アクションを許可するステータス値を示しています。

トピック