翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
でプライベート CA を作成する AWS Private CA
このセクションの手順を使用して、ルート CA と下位 CA のいずれかを作成し、組織のニーズに合った信頼関係の監査可能な階層を作成できます。CA は AWS Management Console、、 の PCA 部分 AWS CLI、または を使用して作成できます AWS CloudFormation。
既に作成した CA の設定の更新については、「でプライベート CA を更新する AWS Private Certificate Authority」を参照してください。
CA を使用してユーザー、デバイス、アプリケーションのエンドエンティティ証明書に署名する方法については、「プライベートエンドエンティティ証明書を発行する」を参照してください。
注記
アカウントを作成した時点で、各プライベート CA の月額料金が課金されます。
最新の AWS Private CA 料金情報については、AWS Private Certificate Authority 「 料金
プライベート CA を作成するための CLI の例
以下の例では、.aws
設定ディレクトリに有効なデフォルトリージョン、エンドポイント、認証情報が設定されていることを前提としています。 AWS CLI 環境の設定については、「設定ファイルと認証情報ファイルの設定」を参照してください。読みやすくするために、例のコマンドでは CA の設定と失効の入力を JSON ファイルで行っています。例のファイルは必要に応じて実際の使用に合わせて変更してください。
特に明記されていない限り、すべての例では ca_config.txt
設定ファイルを使用しています。
ファイル: ca_config.txt
{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"
US
", "Organization":"Example Corp
", "OrganizationalUnit":"Sales
", "State":"WA
", "Locality":"Seattle
", "CommonName":"www.example.com
" } }
例 1: OCSP が有効な CA を作成する
この例では、失効ファイルによりデフォルトの OCSP サポートが有効になり、 AWS Private CA レスポンダーを使用して証明書のステータスを確認します。
ファイル: OCSP 用の revoke_config.txt
{ "OcspConfiguration":{ "Enabled":true } }
コマンド
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA
正常に実行されると、このコマンドは新しい CA の Amazon リソースネーム (ARN) を出力します。
{
"CertificateAuthorityArn":"arn:aws:acm-pca:region
:account
:
certificate-authority/CA_ID
"
}
コマンド
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-2
作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
次のコマンドを使用して CA の設定を検査します。
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
この記述には、次のセクションが含まれているはずです。
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true
}
...
}
例 2: OCSP とカスタム CNAME が有効な CA を作成する
この例では、カスタマイズされた OCSP サポートが失効ファイルにより有効になっています。OcspCustomCname
パラメータは、値として完全修飾ドメイン名 (FQDN) を使用します。
このフィールドに FQDN を指定すると、 は OCSP レスポンダーのデフォルト URL の代わりに、発行された各証明書の Authority Information Access 拡張機能に FQDN AWS AWS Private CA を挿入します。エンドポイントは、カスタム FQDN を含む証明書を受け取ると、そのアドレスに OCSP レスポンスを問い合わせます。このメカニズムを機能させるには、さらに 2 つのアクションを実行する必要があります。
-
プロキシサーバーを使用して、カスタム FQDN に到着したトラフィックを AWS OCSP レスポンダーに転送します。
-
対応する CNAME レコードを DNS データベースに追加します。
ヒント
カスタム CNAME を使用して完全な OCSP ソリューションを実装する方法の詳細については、「の OCSP URL をカスタマイズする AWS Private CA」を参照してください。
例えば、Amazon Route 53 に表示されるようにカスタマイズされた OCSP の CNAME レコードを次に示します。
レコード名 | タイプ | ルーティングポリシー | 差別化要因 | 値/トラフィックのルーティング先 |
---|---|---|---|---|
alternative.example.com |
CNAME | 低 | - | proxy.example.com |
注記
CNAME の値には、「http://」や「https://」などのプロトコルプレフィックスを含めることはできません。
ファイル: OCSP 用の revoke_config.txt
{ "OcspConfiguration":{ "Enabled":true, "OcspCustomCname":"
alternative.example.com
" } }
コマンド
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-3
作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
次のコマンドを使用して CA の設定を検査します。
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
この記述には、次のセクションが含まれているはずです。
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true,
"OcspCustomCname": "alternative.example.com
"
}
...
}
例 3: CRL がアタッチされた CA を作成する
この例では、失効設定で CRL パラメータが定義されています。
ファイル: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "S3BucketName":"amzn-s3-demo-bucket
" } }
コマンド
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
次のコマンドを使用して CA の設定を検査します。
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
この記述には、次のセクションが含まれているはずです。
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket
"
},
...
}
例 4: CRL がアタッチされカスタム CNAME が有効な CA を作成する
この例では、失効設定がカスタム CNAME を含む CRL パラメータを定義しています。
ファイル: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "CustomCname": "alternative.example.com
", "S3BucketName":"amzn-s3-demo-bucket
" } }
コマンド
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
次のコマンドを使用して CA の設定を検査します。
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
この記述には、次のセクションが含まれているはずです。
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com
",
"S3BucketName": "amzn-s3-demo-bucket
",
...
}
}
例 5: CA を作成して使用モードを指定する
この例では、CA の作成時に CA 使用モードを指定します。指定しない場合、使用モードパラメータはデフォルトで GENERAL_PURPOSE になります。この例では、パラメータは SHORT_LIVED_CERTIFICATE に設定され、CA は最大有効期間が 7 日間の証明書を発行することになります。失効を設定すると不便な状況では、侵害された有効期間の短い証明書は、通常の操作の一環ですぐに期限切れになります。そのため、この例の CA には失効メカニズムがありません。
注記
AWS Private CA はルート CA 証明書の有効性チェックを実行しません。
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config.txt
\ --certificate-authority-type "ROOT" \ --usage-mode SHORT_LIVED_CERTIFICATE \ --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE
次のdescribe-certificate-authorityコマンドに示すように、 の コマンドを使用して、結果の CA の詳細 AWS CLI を表示します。
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn arn:aws:acm:region
:account
:certificate-authority/CA_ID
{ "CertificateAuthority":{ "Arn":"arn:aws:acm-pca:
region
:account
:certificate-authority/CA_ID
", "CreatedAt":"2022-09-30T09:53:42.769000-07:00", "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00", "Type":"ROOT", "UsageMode":"SHORT_LIVED_CERTIFICATE", "Serial":"serial_number
", "Status":"PENDING_CERTIFICATE", "CertificateAuthorityConfiguration":{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"US
", "Organization":"Example Corp
", "OrganizationalUnit":"Sales
", "State":"WA
", "Locality":"Seattle
", "CommonName":"www.example.com
" } }, "RevocationConfiguration":{ "CrlConfiguration":{ "Enabled":false }, "OcspConfiguration":{ "Enabled":false } }, ...
例 6: Active Directory ログインの CA を作成する
Microsoft Active Directory (AD) の Enterprise NTAuth ストアでの使用に適したプライベート CA を作成できます。このストアでは、カードログオン証明書またはドメインコントローラー証明書を発行できます。CA 証明書を AD にインポートする方法については、「サード パーティ証明機関 (CA) 証明書を Enterprise NTAuth ストアにインポートする方法
Microsoft certutil
この例では次の ca_config_AD.txt
設定ファイルを使用します。
ファイル: ca_config_AD.txt
{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } }
コマンド
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config_AD.txt
\ --certificate-authority-type "ROOT" \ --tags Key=application,Value=ActiveDirectory
作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
次のコマンドを使用して CA の設定を検査します。
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
この記述には、次のセクションが含まれているはずです。
... "Subject":{ "CustomAttributes":[ { "ObjectIdentifier":"2.5.4.3", "Value":"root CA" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"example" }, { "ObjectIdentifier":"0.9.2342.19200300.100.1.25", "Value":"com" } ] } ...
例 7: CRL がアタッチされ、CDP 拡張機能が発行された証明書から省略された Matter CA を作成する
Matter スマートホーム標準の証明書の発行に適したプライベート CA を作成できます。この例では、 の CA 設定は、ベンダー ID (VID) を FFF1 に設定して Matter Product Attestation Authority (PAA) ca_config_PAA.txt
を定義します。
ファイル: ca_config_PAA.txt
{ "KeyAlgorithm":"EC_prime256v1", "SigningAlgorithm":"SHA256WITHECDSA", "Subject":{ "Country":"
US
", "Organization":"Example Corp
", "OrganizationalUnit":"SmartHome
", "State":"WA
", "Locality":"Seattle
", "CommonName":"Example Corp Matter PAA
", "CustomAttributes":[ { "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1", "Value":"FFF1"
} ] } }
失効設定は CRLs を有効にし、発行された証明書からデフォルトの CDP URL を省略するように CA を設定します。
ファイル: revoke_config.txt
{ "CrlConfiguration":{ "Enabled":true, "ExpirationInDays":
7
, "S3BucketName":"amzn-s3-demo-bucket
", "CrlDistributionPointExtensionConfiguration":{ "OmitExtension":true } } }
コマンド
$
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://
ca_config_PAA.txt
\ --revocation-configuration file://revoke_config.txt
\ --certificate-authority-type "ROOT" \ --idempotency-token01234567
\ --tags Key=Name
,Value=MyPCA-1
作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。
{
"CertificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
"
}
次のコマンドを使用して CA の設定を検査します。
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
この記述には、次のセクションが含まれているはずです。
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket
",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
},
...
}
...