でプライベート CA を作成する AWS Private CA - AWS Private Certificate Authority
CLI の例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でプライベート CA を作成する AWS Private CA

このセクションの手順を使用して、ルート CA と下位 CA のいずれかを作成し、組織のニーズに合った信頼関係の監査可能な階層を作成できます。CA は AWS Management Console、、 の PCA 部分 AWS CLI、または を使用して作成できます AWS CloudFormation。

既に作成した CA の設定の更新については、「でプライベート CA を更新する AWS Private Certificate Authority」を参照してください。

CA を使用してユーザー、デバイス、アプリケーションのエンドエンティティ証明書に署名する方法については、「プライベートエンドエンティティ証明書を発行する」を参照してください。

注記

アカウントを作成した時点で、各プライベート CA の月額料金が課金されます。

最新の AWS Private CA 料金情報については、AWS Private Certificate Authority 「 料金表」を参照してください。AWS 料金計算ツール でコストを見積もることもできます。

Console
コンソールを使用してプライベート CA を作成するには

  1. AWS Management Consoleを使用してプライベート CA を作成するには、次のステップを実行します。

    コンソールの使用を開始するには

    AWS アカウントにサインインし、 で AWS Private CA コンソールを開きますhttps://console.aws.amazon.com/acm-pca/home

    • プライベート CA がないリージョンでコンソールを開くと、導入ページが表示されます。[プライベート CA を作成] を選択します。

    • 既に CA を作成しているリージョンでコンソールを開くと、[プライベート認証機関] ページが開き、CA のリストが表示されます。[CA を作成] を選択します。

  2. モードオプションで、CA が発行する証明書の有効期限モードを選択します。

    • [汎用] — 任意の有効期限を設定できる証明書を発行します。これがデフォルトです。

    • [有効期間の短い証明書] — 最大有効期間が 7 日間の証明書を発行します。有効期間を短くすることで失効メカニズムの代わりになる場合もあります。

  3. コンソールの [タイプオプション] セクションで、作成するプライベート認証機関のタイプを選択します。

    • [ルート] を選択すると、新しい CA 階層が構築されます。この CA は、自己署名証明書によって認証されています。これは、階層内の他の CA およびエンドエンティティ証明書の最終署名機関として機能します。

    • [下位] を選択すると、階層のより上位にある親 CA による署名を必要とする CA が作成されます。下位 CA は通常、他の下位 CA を作成したり、ユーザー、コンピュータ、アプリケーションにエンドエンティティ証明書を発行したりするために使用されます。

      注記

      AWS Private CA は、下位 CA の親 CA もホストされている場合に、自動署名プロセスを提供します AWS Private CA。必要なのは使用する親 CA の選択だけです。

      下位 CA は外部の信頼サービスプロバイダーによる署名が必要な場合があります。その場合は、 から証明書署名リクエスト (CSR) AWS Private CA が提供されます。このリクエストは、署名付き CA 証明書をダウンロードして取得するために使用する必要があります。詳細については、「外部の親 CA によって署名された下位 CA 証明書をインストールする」を参照してください。

  4. [サブジェクトの識別名のオプション] で、プライベート CA のサブジェクト名を設定します。次のオプションの 1 つ以上に値を入力する必要があります。

    • [組織 (O)] — 会社名など

    • [組織単位 (OU)] — 会社内の部門など

    • [国名 (C)] — 2 文字の国コード

    • [州名/都道府県名] — 州または都道府県の正式名称

    • [地域名] — 都市の名前

    • 共通名 (CN) – CA を識別するための人間が読み取れる文字列。

    注記

    発行時に APIPassthrough テンプレートを適用することで、証明書のサブジェクト名をさらにカスタマイズできます。詳細と具体例については、「APIPassthrough テンプレートを使用して、カスタムサブジェクト名で証明書を発行します。」を参照してください。

    バッキング証明書は自己署名であるため、プライベート CA に関して入力するサブジェクト情報は、パブリック CA に含まれる情報よりも少ない可能性が高いです。サブジェクト識別名を構成する各値の詳細については、「RFC 5280」を参照してください。

  5. [キーアルゴリズムのオプション] で、キーアルゴリズムとキーのビットサイズを選択します。デフォルト値は、2048 ビットのキー長の RSA アルゴリズムです。次のアルゴリズムから選択できます。

    • RSA 2048

    • RSA 4096

    • ECDSA P256

    • ECDSA P384

  6. [証明書失効オプション] では、証明書を使用するクライアントと失効ステータスを共有する 2 つの方法から選択できます。

    • [CRL のディストリビューションをアクティブ化]

    • [OCSP をオンにする]

    CA では、これらの失効オプションのいずれかを設定することも、いずれも設定しないことも、両方を設定することもできます。任意ではありますが、ベストプラクティスとしてはマネージド失効が推奨されます。このステップを完了する前に、各方法の利点、必要になる可能性のある事前設定、その他の失効機能に関する情報について「AWS Private CA 証明書失効方法の計画」を確認してください。

    注記

    失効を設定せずに CA を作成した場合は、後からいつでも設定できます。詳細については、「でプライベート CA を更新する AWS Private Certificate Authority」を参照してください。

    証明書失効オプションを設定するには、次の手順を実行します。

    1. [証明書失効オプション][CRL ディストリビューションをアクティブ化] を選択します。

    2. CRL エントリの Amazon S3 バケットを作成するには、新しい S3 バケットを作成 を選択し、一意のバケット名を入力します。(バケットへのパスを含める必要はありません)。それ以外の場合、[S3 バケット URI] で、リストから既存のバケットを選択します。

      コンソールで新しいバケットを作成すると、 AWS Private CA は 必要なアクセスポリシーをバケットにアタッチし、そのバケットに設定された S3 デフォルトの パブリックアクセスブロック (BPA) を無効にしようとします。代わりに既存のバケットを指定する場合は、アカウントとバケットに対し BPA を無効にする必要があります。そうしないと、CA を作成するオペレーションは失敗します。CA が正常に作成された場合でも、CRL の生成を開始する前に、手動でポリシーをアタッチする必要があります。Amazon S3 の CRL のアクセスポリシー で説明されているポリシーパターンのいずれかを使用してください。詳細については、「Amazon S3 コンソールを使用したバケットポリシーの追加」を参照してください。

      重要

      AWS Private CA コンソールを使用して CA を作成しようとすると、次の条件がすべて当てはまると失敗します。

      • CRL を設定中です。

      • S3 バケットを自動的に作成 AWS Private CA するように に依頼します。

      • S3 で BPA 設定を実施しています。

      この場合、コンソールはバケットを作成しますが、パブリックにアクセスできるようにしようとして失敗します。このような場合は Amazon S3 の設定を確認し、必要に応じて BPA を無効にしてから、CA を作成する手順を再度行います。詳細については、「Amazon S3 ストレージへのパブリックアクセスのブロック」を参照してください。

    3. 追加の設定オプションを表示するには、[CRL 設定] を展開します。

      • パーティショニングを有効にする を選択して、CRLsのパーティショニングを有効にします。パーティショニングを有効にしない場合、CA には取り消された証明書の最大数が適用されます。詳細については、AWS Private Certificate Authority クォータを参照してください。パーティション分割された CRLs「CRL タイプ」を参照してください。

      • カスタム CRL 名を追加して、Amazon S3 バケットのエイリアスを作成します。この名前は、RFC 5280 で定義されている「CRL ディストリビューションポイント」拡張で CA が発行した証明書に含まれています。

      • カスタムパスを追加して、Amazon S3 バケット内のファイルパスの DNS エイリアスを作成します。

      • CRL が有効な日数で Validity を入力します。デフォルト値は 7 日です。オンライン CRL の場合、有効期間は 2~7 日が一般的です。 AWS Private CA は指定した期間の中間で CRL の再生成を試みます。

    4. [バケットのバージョニング][バケットアクセスログ記録] のオプション設定を表示するには、[S3 設定] を展開します。

  7. 証明書失効オプションで、OCSP を有効にするを選択します

    1. [カスタム OCSP エンドポイント (オプション)] フィールドでは、Amazon OCSP 以外のエンドポイントの完全修飾ドメイン名 (FQDN) を指定できます。

      このフィールドに FQDN を指定すると、 は OCSP レスポンダーのデフォルト URL の代わりに、発行された各証明書の Authority Information Access 拡張機能に FQDN AWS AWS Private CA を挿入します。エンドポイントは、カスタム FQDN を含む証明書を受け取ると、そのアドレスに OCSP レスポンスを問い合わせます。このメカニズムを機能させるには、さらに 2 つのアクションを実行する必要があります。

      • プロキシサーバーを使用して、カスタム FQDN に到着したトラフィックを AWS OCSP レスポンダーに転送します。

      • 対応する CNAME レコードを DNS データベースに追加します。

      ヒント

      カスタム CNAME を使用して完全な OCSP ソリューションを実装する方法の詳細については、「の OCSP URL をカスタマイズする AWS Private CA」を参照してください。

      例えば、Amazon Route 53 に表示されるようにカスタマイズされた OCSP の CNAME レコードを次に示します。

      レコード名 タイプ ルーティングポリシー 差別化要因 値/トラフィックのルーティング先

      alternative.example.com

      		 CNAME - proxy.example.com
      注記

      CNAME の値には、「http://」や「https://」などのプロトコルプレフィックスを含めることはできません。

  8. [タグを追加] ページでは、任意で CA にタグを付けることができます。タグとは、 AWS リソースを識別および整理するためのメタデータとして機能するキーと値のペアのことを指します。 AWS Private CA タグパラメータのリストと、作成後に CAs「」を参照してくださいプライベート CA のタグを追加する

    注記

    作成プロシージャ中にプライベート CA にタグをアタッチするには、CA 管理者はまずインライン IAM ポリシーを CreateCertificateAuthority アクションに関連付けて、タグ付けを明示的に許可する必要があります。詳細については、「Tag-on-create: 作成時に CA にタグをアタッチします。」を参照してください。

  9. CA アクセス許可オプションでは、オプションで自動更新アクセス許可を AWS Certificate Manager サービスプリンシパルに委任できます。ACM は、この許可が付与されている場合にのみ、この CA によって生成されたプライベートエンドエンティティ証明書を自動的に更新できます。更新許可は、 AWS Private CA CreatePermission API または create-permission CLI コマンドを使用していつでも割り当てることができます。

    デフォルトでは、これらのアクセス許可が有効になっています。

    注記

    AWS Certificate Manager は、有効期間の短い証明書の自動更新をサポートしていません。

  10. [料金] で、プライベート CA の料金を理解していることを確認します。

    注記

    最新の AWS Private CA 料金情報については、AWS Private Certificate Authority 「 料金表」を参照してください。AWS 料金計算ツール でコストを見積もることもできます。

  11. 入力した情報がすべて正しいことを確認したら、[CA を作成] を選択します。CA の詳細ページが開き、ステータスが [証明書を保留中] と表示されます。

    注記

    詳細ページでは、[アクション][CA 証明書をインストール] を選択して CA の設定を完了することができます。また、後で [プライベート認証機関] リストに戻って、該当するインストール手順を完了することもできます。

CLI

create-certificate-authority コマンドを使用して、プライベート CA を作成します。CA 設定 (アルゴリズムやサブジェクト名の情報など)、失効設定 (OCSP や CRL を使用する予定の場合)、および CA タイプ (ルートまたは下位) を指定する必要があります。設定と失効設定の詳細は、コマンドの引数として指定する 2 つのファイルに含まれています。任意で、CA 使用モード (標準証明書または有効期間の短い証明書の発行用) の設定、タグのアタッチ、および冪等性トークンの提供もできます。

CRL を設定する場合、create-certificate-authority コマンドを発行する前に、セキュリティで保護された Amazon S3 バケットを用意しておく必要があります。詳細については、「Amazon S3 の CRL のアクセスポリシー 」を参照してください。

CA 設定ファイルは次の情報を指定します。

  • アルゴリズムの名前

  • CA プライベートキーの作成に使用されるキーサイズ

  • CA が署名に使用する署名アルゴリズムのタイプ

  • X.500 件名情報

OCSP の失効設定では、以下の情報を含む OcspConfiguration オブジェクトを定義します。

  • 「true」に設定された Enabled フラグ。

  • (任意) OcspCustomCname の値として宣言されたカスタム CNAME。

CRL の失効設定は、以下の情報を含む CrlConfiguration オブジェクトを定義します。

  • 「true」に設定された Enabled フラグ。

  • CRL の有効期限までの日数 (CRL の有効期間)。

  • CRL を含む Amazon S3 バケット。

  • (オプション) CRL がパブリックにアクセス可能かどうかを決定する S3ObjectAcl 値。ここに示す例では、パブリックアクセスはブロックされています。詳細については、「CloudFront で S3 ブロックパブリックアクセス (BPA) を有効にする」を参照してください。

  • (任意) CA によって発行された証明書に含まれている S3 バケットの CNAME エイリアス。CRL がパブリックにアクセスできない場合、これは Amazon CloudFront などのディストリビューションメカニズムを指します。

  • (オプション) 次の情報を含むCrlDistributionPointExtensionConfigurationオブジェクト。

    • 「true」または「false」に設定されたOmitExtensionフラグ。これにより、CDP 拡張機能のデフォルト値が CA によって発行された証明書に書き込まれるかどうかが制御されます。CDP 拡張機能の詳細については、「」を参照してくださいCRL ディストリビューションポイント (CDP) URI の決定 。OmitExtension が「true」の場合、CustomCname を設定することはできません。

  • (オプション) S3 バケット内の CRL のカスタムパス。

  • (オプション) CRL が完了するかパーティション化されるかを決定する CrlType 値。指定しない場合、CRL はデフォルトで完了します。

注記

OcspConfiguration オブジェクトと CrlConfiguration オブジェクトの両方を定義することで、同じ CA で両方の失効メカニズムを有効にできます。--revocation-configuration パラメータを指定しない場合、どちらのメカニズムもデフォルトで無効になります。後で失効検証のサポートが必要になった場合は、「CA の更新 (CLI)」を参照してください。

CLI の例については、次のセクションを参照してください。

プライベート CA を作成するための CLI の例

以下の例では、.aws 設定ディレクトリに有効なデフォルトリージョン、エンドポイント、認証情報が設定されていることを前提としています。 AWS CLI 環境の設定については、「設定ファイルと認証情報ファイルの設定」を参照してください。読みやすくするために、例のコマンドでは CA の設定と失効の入力を JSON ファイルで行っています。例のファイルは必要に応じて実際の使用に合わせて変更してください。

特に明記されていない限り、すべての例では ca_config.txt 設定ファイルを使用しています。

ファイル: ca_config.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"Sales",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"www.example.com"
   }
}

例 1: OCSP が有効な CA を作成する

この例では、失効ファイルによりデフォルトの OCSP サポートが有効になり、 AWS Private CA レスポンダーを使用して証明書のステータスを確認します。

ファイル: OCSP 用の revoke_config.txt

{
   "OcspConfiguration":{
      "Enabled":true
   }
}

コマンド

$ aws acm-pca create-certificate-authority \
     --certificate-authority-configuration file://ca_config.txt \
     --revocation-configuration file://revoke_config.txt \
     --certificate-authority-type "ROOT" \
     --idempotency-token 01234567 \
     --tags Key=Name,Value=MyPCA

正常に実行されると、このコマンドは新しい CA の Amazon リソースネーム (ARN) を出力します。

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
       certificate-authority/CA_ID"
}

コマンド

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-2

作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

次のコマンドを使用して CA の設定を検査します。

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

この記述には、次のセクションが含まれているはずです。

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true
   }
   ...
}

例 2: OCSP とカスタム CNAME が有効な CA を作成する

この例では、カスタマイズされた OCSP サポートが失効ファイルにより有効になっています。OcspCustomCname パラメータは、値として完全修飾ドメイン名 (FQDN) を使用します。

このフィールドに FQDN を指定すると、 は OCSP レスポンダーのデフォルト URL の代わりに、発行された各証明書の Authority Information Access 拡張機能に FQDN AWS AWS Private CA を挿入します。エンドポイントは、カスタム FQDN を含む証明書を受け取ると、そのアドレスに OCSP レスポンスを問い合わせます。このメカニズムを機能させるには、さらに 2 つのアクションを実行する必要があります。

  • プロキシサーバーを使用して、カスタム FQDN に到着したトラフィックを AWS OCSP レスポンダーに転送します。

  • 対応する CNAME レコードを DNS データベースに追加します。

ヒント

カスタム CNAME を使用して完全な OCSP ソリューションを実装する方法の詳細については、「の OCSP URL をカスタマイズする AWS Private CA」を参照してください。

例えば、Amazon Route 53 に表示されるようにカスタマイズされた OCSP の CNAME レコードを次に示します。

レコード名 タイプ ルーティングポリシー 差別化要因 値/トラフィックのルーティング先

alternative.example.com

 CNAME - proxy.example.com
注記

CNAME の値には、「http://」や「https://」などのプロトコルプレフィックスを含めることはできません。

ファイル: OCSP 用の revoke_config.txt

{
   "OcspConfiguration":{
      "Enabled":true,
      "OcspCustomCname":"alternative.example.com"
   }
}

コマンド

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-3

作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

次のコマンドを使用して CA の設定を検査します。

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

この記述には、次のセクションが含まれているはずです。

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true,
      "OcspCustomCname": "alternative.example.com"
   }
   ...
}

例 3: CRL がアタッチされた CA を作成する

この例では、失効設定で CRL パラメータが定義されています。

ファイル: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

コマンド

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

次のコマンドを使用して CA の設定を検査します。

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

この記述には、次のセクションが含まれているはずです。

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket"
   },
   ...
}

例 4: CRL がアタッチされカスタム CNAME が有効な CA を作成する

この例では、失効設定がカスタム CNAME を含む CRL パラメータを定義しています。

ファイル: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "CustomCname": "alternative.example.com",
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

コマンド

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

次のコマンドを使用して CA の設定を検査します。

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

この記述には、次のセクションが含まれているはずです。

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "CustomCname": "alternative.example.com",
      "S3BucketName": "amzn-s3-demo-bucket",
   ...
   }
}

例 5: CA を作成して使用モードを指定する

この例では、CA の作成時に CA 使用モードを指定します。指定しない場合、使用モードパラメータはデフォルトで GENERAL_PURPOSE になります。この例では、パラメータは SHORT_LIVED_CERTIFICATE に設定され、CA は最大有効期間が 7 日間の証明書を発行することになります。失効を設定すると不便な状況では、侵害された有効期間の短い証明書は、通常の操作の一環ですぐに期限切れになります。そのため、この例の CA には失効メカニズムがありません。

注記

AWS Private CA はルート CA 証明書の有効性チェックを実行しません。

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config.txt \
	     --certificate-authority-type "ROOT" \
	     --usage-mode SHORT_LIVED_CERTIFICATE \
	     --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

次のdescribe-certificate-authorityコマンドに示すように、 の コマンドを使用して、結果の CA の詳細 AWS CLI を表示します。

$ aws acm-pca describe-certificate-authority \
	     --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
{
	   "CertificateAuthority":{
	      "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
	      "CreatedAt":"2022-09-30T09:53:42.769000-07:00",
	      "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
	      "Type":"ROOT",
	      "UsageMode":"SHORT_LIVED_CERTIFICATE",
	      "Serial":"serial_number",
	      "Status":"PENDING_CERTIFICATE",
	      "CertificateAuthorityConfiguration":{
	         "KeyAlgorithm":"RSA_2048",
	         "SigningAlgorithm":"SHA256WITHRSA",
	         "Subject":{
	            "Country":"US",
	            "Organization":"Example Corp",
	            "OrganizationalUnit":"Sales",
	            "State":"WA",
	            "Locality":"Seattle",
	            "CommonName":"www.example.com"
	         }
	      },
	      "RevocationConfiguration":{
	         "CrlConfiguration":{
	            "Enabled":false
	         },
	         "OcspConfiguration":{
	            "Enabled":false
	         }
	      },
	...

例 6: Active Directory ログインの CA を作成する

Microsoft Active Directory (AD) の Enterprise NTAuth ストアでの使用に適したプライベート CA を作成できます。このストアでは、カードログオン証明書またはドメインコントローラー証明書を発行できます。CA 証明書を AD にインポートする方法については、「サード パーティ証明機関 (CA) 証明書を Enterprise NTAuth ストアにインポートする方法」を参照してください。

Microsoft certutil ツールを使用すると、-dspublish オプションを呼び出して CA 証明書を AD に発行できます。certutil を使用して AD に発行された証明書は、フォレスト全体で信頼されます。グループポリシーを使用すると、1 つのドメインやドメイン内のコンピュータのグループなど、フォレスト全体のサブセットに信頼を制限することもできます。ログオンが機能するためには、発行元の CA も NTAuth ストアで発行されている必要があります。詳細については、「グループ ポリシーを使用してクライアントコンピューターに証明書を配布する」を参照してください。

この例では次の ca_config_AD.txt 設定ファイルを使用します。

ファイル: ca_config_AD.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "CustomAttributes":[
         {
            "ObjectIdentifier":"2.5.4.3",
            "Value":"root CA"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"example"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"com"
         }
      ]
   }
}

コマンド

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config_AD.txt \
	     --certificate-authority-type "ROOT" \
	     --tags Key=application,Value=ActiveDirectory

作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
	}

次のコマンドを使用して CA の設定を検査します。

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

この記述には、次のセクションが含まれているはずです。

...

"Subject":{
   "CustomAttributes":[
      {
         "ObjectIdentifier":"2.5.4.3",
         "Value":"root CA"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"example"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"com"
      }
   ]
}
...

例 7: CRL がアタッチされ、CDP 拡張機能が発行された証明書から省略された Matter CA を作成する

Matter スマートホーム標準の証明書の発行に適したプライベート CA を作成できます。この例では、 の CA 設定は、ベンダー ID (VID) を FFF1 に設定して Matter Product Attestation Authority (PAA) ca_config_PAA.txtを定義します。

ファイル: ca_config_PAA.txt

{
   "KeyAlgorithm":"EC_prime256v1",
   "SigningAlgorithm":"SHA256WITHECDSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"SmartHome",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"Example Corp Matter PAA",
	  "CustomAttributes":[
      {
        "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
        "Value":"FFF1"
      }
    ]
  }
}

失効設定は CRLs を有効にし、発行された証明書からデフォルトの CDP URL を省略するように CA を設定します。

ファイル: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   }
}

コマンド

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config_PAA.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

次のコマンドを使用して CA の設定を検査します。

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

この記述には、次のセクションが含まれているはずです。

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   },
   ...
}
...