翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# でプライベート CA を作成する AWS Private CA
このセクションの手順を使用して、ルート CA と下位 CA のいずれかを作成し、組織のニーズに合った信頼関係の監査可能な階層を作成できます。CA は AWS マネジメントコンソール、、 の PCA 部分 AWS CLI、または を使用して作成できます AWS CloudFormation。
既に作成した CA の設定の更新については、「[でプライベート CA を更新する AWS Private Certificate Authority](PCAUpdateCA.md)」を参照してください。
CA を使用してユーザー、デバイス、アプリケーションのエンドエンティティ証明書に署名する方法については、「[プライベートエンドエンティティ証明書を発行する](PcaIssueCert.md)」を参照してください。
**注記**
アカウントを作成した時点で、各プライベート CA の月額料金が課金されます。
最新の AWS Private CA 料金情報については、[AWS Private Certificate Authority 「 ](https://aws.amazon.com/private-ca/pricing/)料金表」を参照してください。[AWS 料金計算ツール](https://calculator.aws/#/createCalculator/certificateManager) でコストを見積もることもできます。
**Topics**
+ [プライベート CA を作成するための CLI の例](#create-ca-cli-examples)
------
#### [ Console ]
**コンソールを使用してプライベート CA を作成するには**
1. AWS マネジメントコンソールを使用してプライベート CA を作成するには、次のステップを実行します。
**コンソールの使用を開始するには**
AWS アカウントにサインインし、 で AWS Private CA コンソールを開きます**[https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home)**。
+ プライベート CA がないリージョンでコンソールを開くと、導入ページが表示されます。**[プライベート CA を作成]** を選択します。
+ 既に CA を作成しているリージョンでコンソールを開くと、**[プライベート認証機関]** ページが開き、CA のリストが表示されます。**[CA を作成]** を選択します。
1. **モードオプション**で、CA が発行する証明書の有効期限モードを選択します。
+ **[汎用]** — 任意の有効期限を設定できる証明書を発行します。これがデフォルトです。
+ **[有効期間の短い証明書]** — 最大有効期間が 7 日間の証明書を発行します。有効期間を短くすることで失効メカニズムの代わりになる場合もあります。
1. コンソールの **[タイプオプション]** セクションで、作成するプライベート認証機関のタイプを選択します。
+ **[ルート]** を選択すると、新しい CA 階層が構築されます。この CA は、自己署名証明書によって認証されています。これは、階層内の他の CA およびエンドエンティティ証明書の最終署名機関として機能します。
+ **[下位]** を選択すると、階層のより上位にある親 CA による署名を必要とする CA が作成されます。下位 CA は通常、他の下位 CA を作成したり、ユーザー、コンピュータ、アプリケーションにエンドエンティティ証明書を発行したりするために使用されます。
**注記**
AWS Private CA は、下位 CA の親 CA も によってホストされている場合に、自動署名プロセスを提供します AWS Private CA。必要なのは使用する親 CA の選択だけです。
下位 CA は外部の信頼サービスプロバイダーによる署名が必要な場合があります。その場合、 は、署名付き CA 証明書をダウンロードして取得するために使用する必要がある証明書署名リクエスト (CSR) AWS Private CA を提供します。詳細については、「[外部親 CA によって署名された下位 CA 証明書をインストールする](PCACertInstall.md#InstallSubordinateExternal)」を参照してください。
1. **[サブジェクトの識別名のオプション]** で、プライベート CA のサブジェクト名を設定します。次のオプションの 1 つ以上に値を入力する必要があります。
+ **[組織 (O)]** — 会社名など
+ **[組織単位 (OU)]** — 会社内の部門など
+ **[国名 (C)]** — 2 文字の国コード
+ **[州名/都道府県名]** — 州または都道府県の正式名称
+ **[地域名]** — 都市の名前
+ **共通名 (CN)** – CA を識別するための人間が読み取れる文字列。
**注記**
発行時に APIPassthrough テンプレートを適用することで、証明書のサブジェクト名をさらにカスタマイズできます。詳細と具体例については、「[APIPassthrough テンプレートを使用して、カスタムサブジェクト名で証明書を発行します。](PcaIssueCert.md#custom-subject-1)」を参照してください。
バッキング証明書は自己署名であるため、プライベート CA に関して入力するサブジェクト情報は、パブリック CA に含まれる情報よりも少ない可能性が高いです。サブジェクト識別名を構成する各値の詳細については、「[RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.4)」を参照してください。
1. **キーアルゴリズムオプション**で、キーアルゴリズムとアルゴリズムの強度を選択します。デフォルト値は RSA 2048 です。次のアルゴリズムから選択できます。
+ ML-DSA-44
+ ML-DSA-65
+ ML-DSA-87
+ RSA 2048
+ RSA 3072
+ RSA 4096
+ ECDSA P256
+ ECDSA P384
+ ECDSA P521
1. **[証明書失効オプション]** では、証明書を使用するクライアントと失効ステータスを共有する 2 つの方法から選択できます。
+ **[CRL のディストリビューションをアクティブ化]**
+ **[OCSP をオンにする]**
CA では、これらの失効オプションのいずれかを設定することも、いずれも設定しないことも、両方を設定することもできます。任意ではありますが、[ベストプラクティス](ca-best-practices.md)としてはマネージド失効が推奨されます。このステップを完了する前に、各方法の利点、必要になる可能性のある事前設定、その他の失効機能に関する情報について「[AWS Private CA 証明書失効方法を計画する](revocation-setup.md)」を確認してください。
**注記**
失効を設定せずに CA を作成した場合は、後からいつでも設定できます。詳細については、「[でプライベート CA を更新する AWS Private Certificate Authority](PCAUpdateCA.md)」を参照してください。
**証明書失効オプション**を設定するには、次の手順を実行します。
1. **[証明書失効オプション]** で **[CRL ディストリビューションをアクティブ化]** を選択します。
1. **S3 バケット URI** で、リストから既存のバケットを選択します。
既存のバケットを指定するときは、アカウントとバケットに対して BPA が無効になっていることを確認する必要があります。そうしないと、CA を作成するオペレーションは失敗します。CA が正常に作成された場合でも、CRL の生成を開始する前に、手動でポリシーをアタッチする必要があります。[Amazon S3 の CRL のアクセスポリシー](crl-planning.md#s3-policies) で説明されているポリシーパターンのいずれかを使用してください。詳細については、「[Amazon S3 コンソールを使用したバケットポリシーの追加](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html)」を参照してください。
1. 追加の設定オプションを表示するには、**[CRL 設定]** を展開します。
+ **パーティショニングを有効にする** を選択して、CRLsのパーティショニングを有効にします。パーティショニングを有効にしない場合、CA には取り消された証明書の最大数が適用されます。詳細については、[AWS Private Certificate Authority クォータ](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca)を参照してください。パーティション分割された CRLs[「CRL タイプ](crl-planning.md#crl-type)」を参照してください。
+ **カスタム CRL 名**を追加して、Amazon S3 バケットのエイリアスを作成します。この名前は、RFC 5280 で定義されている「CRL ディストリビューションポイント」拡張で CA が発行した証明書に含まれています。IPv6 経由で CRLs[IPv6 経由で CRLs](crl-planning.md#crl-ipv6)」の説明に従って、これをバケットのデュアルスタック S3 エンドポイントに設定します。
+ **カスタムパス**を追加して、Amazon S3 バケット内のファイルパスの DNS エイリアスを作成します。
+ CRL が有効なままになる**日数で Validity ** を入力します。デフォルト値は 7 日です。オンライン CRL の場合、有効期間は 2~7 日が一般的です。 AWS Private CA は指定した期間の中間で CRL の再生成を試みます。
1. **証明書失効オプション**で、**OCSP を有効にするを選択します**。
1. **[カスタム OCSP エンドポイント (オプション)]** フィールドでは、Amazon OCSP 以外のエンドポイントの完全修飾ドメイン名 (FQDN) を指定できます。IPv6 経由で OCSP を使用するには、「IPv6 [経由で OCSP を使用する」の説明に従って、このフィールドをデュアルスタックエンドポイントに設定しますIPv6](ocsp-customize.md#ocsp-ipv6)。
このフィールドに FQDN を指定すると、 は OCSP レスポンダーのデフォルト URL の代わりに、発行された各証明書の *Authority Information Access* 拡張機能に FQDN AWS AWS Private CA を挿入します。エンドポイントは、カスタム FQDN を含む証明書を受け取ると、そのアドレスに OCSP レスポンスを問い合わせます。このメカニズムを機能させるには、さらに 2 つのアクションを実行する必要があります。
+ プロキシサーバーを使用して、カスタム FQDN に到着したトラフィックを AWS OCSP レスポンダーに転送します。
+ 対応する CNAME レコードを DNS データベースに追加します。
**ヒント**
カスタム CNAME を使用して完全な OCSP ソリューションを実装する方法の詳細については、「[の OCSP URL をカスタマイズする AWS Private CA](ocsp-customize.md)」を参照してください。
例えば、Amazon Route 53 に表示されるようにカスタマイズされた OCSP の CNAME レコードを次に示します。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/privateca/latest/userguide/create-CA.html)
**注記**
CNAME の値には、「http://」や「https://」などのプロトコルプレフィックスを含めることはできません。
1. **[タグを追加]** ページでは、任意で CA にタグを付けることができます。タグとは、 AWS リソースを識別および整理するためのメタデータとして機能するキーと値のペアのことを指します。 AWS Private CA タグパラメータのリストと、作成後に CAs「」を参照してください[プライベート CA のタグを追加する](PcaCaTagging.md)。
**注記**
作成プロシージャ中にプライベート CA にタグをアタッチするには、CA 管理者はまずインライン IAM ポリシーを `CreateCertificateAuthority` アクションに関連付けて、タグ付けを明示的に許可する必要があります。詳細については、「[Tag-on-create: 作成時に CA にタグをアタッチします。](auth-InlinePolicies.md#tag-on-create)」を参照してください。
1. **CA アクセス許可オプション**では、オプションで自動更新アクセス許可を AWS Certificate Manager サービスプリンシパルに委任できます。ACM は、この許可が付与されている場合にのみ、この CA によって生成されたプライベートエンドエンティティ証明書を自動的に更新できます。更新許可は、 AWS Private CA [CreatePermission](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreatePermission.html) API または [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) CLI コマンドを使用していつでも割り当てることができます。
デフォルトでは、これらのアクセス許可が有効になっています。
**注記**
AWS Certificate Manager は、有効期間の短い証明書の自動更新をサポートしていません。
1. **[料金]** で、プライベート CA の料金を理解していることを確認します。
**注記**
最新の AWS Private CA 料金情報については、[AWS Private Certificate Authority 「 ](https://aws.amazon.com/private-ca/pricing/)料金表」を参照してください。[AWS 料金計算ツール](https://calculator.aws/#/createCalculator/certificateManager) でコストを見積もることもできます。
1. 入力した情報がすべて正しいことを確認したら、**[CA を作成]** を選択します。CA の詳細ページが開き、ステータスが **[証明書を保留中]** と表示されます。
**注記**
詳細ページでは、**[アクション]**、**[CA 証明書をインストール]** を選択して CA の設定を完了することができます。また、後で **[プライベート認証機関]** リストに戻って、該当するインストール手順を完了することもできます。
[ルート CA 証明書をインストールする](PCACertInstall.md#InstallRoot)
[によってホストされる下位 CA 証明書をインストールする AWS Private CA](PCACertInstall.md#InstallSubordinateInternal)
[外部親 CA によって署名された下位 CA 証明書をインストールする](PCACertInstall.md#InstallSubordinateExternal)
------
#### [ CLI ]
[create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html) コマンドを使用して、プライベート CA を作成します。CA 設定 (アルゴリズムやサブジェクト名の情報など)、失効設定 (OCSP や CRL を使用する予定の場合)、および CA タイプ (ルートまたは下位) を指定する必要があります。設定と失効設定の詳細は、コマンドの引数として指定する 2 つのファイルに含まれています。任意で、CA 使用モード (標準証明書または有効期間の短い証明書の発行用) の設定、タグのアタッチ、および冪等性トークンの提供もできます。
CRL を設定する場合、**create-certificate-authority** コマンドを発行する前に、セキュリティで保護された Amazon S3 バケットを用意しておく必要があります。詳細については、「[Amazon S3 の CRL のアクセスポリシー](crl-planning.md#s3-policies)」を参照してください。
CA 設定ファイルは次の情報を指定します。
+ アルゴリズムの名前
+ CA プライベートキーの作成に使用されるキーサイズ
+ CA が独自の Certificate Signing Request、CRLs、OCSP レスポンスに署名するために使用する署名アルゴリズムのタイプ
+ X.500 件名情報
OCSP の失効設定では、以下の情報を含む `OcspConfiguration` オブジェクトを定義します。
+ 「true」に設定された `Enabled` フラグ。
+ (任意) `OcspCustomCname` の値として宣言されたカスタム CNAME。
CRL の失効設定は、以下の情報を含む `CrlConfiguration` オブジェクトを定義します。
+ 「true」に設定された `Enabled` フラグ。
+ CRL の有効期限までの日数 (CRL の有効期間)。
+ CRL を含む Amazon S3 バケット。
+ (オプション) CRL がパブリックにアクセス可能かどうかを決定する [S3ObjectAcl](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CrlConfiguration.html#privateca-Type-CrlConfiguration-S3ObjectAcl) 値。ここに示す例では、パブリックアクセスはブロックされています。詳細については、「[CloudFront で S3 パブリックアクセスブロック (BPA) を有効にする](crl-planning.md#s3-bpa)」を参照してください。
+ (任意) CA によって発行された証明書に含まれている S3 バケットの CNAME エイリアス。CRL がパブリックにアクセスできない場合、これは Amazon CloudFront などのディストリビューションメカニズムを指します。
+ (オプション) 次の情報を含む`CrlDistributionPointExtensionConfiguration`オブジェクト。
+ `OmitExtension` フラグを「true」または「false」に設定します。これにより、CDP 拡張機能のデフォルト値が CA によって発行された証明書に書き込まれるかどうかが制御されます。CDP 拡張機能の詳細については、「」を参照してください[CRL ディストリビューションポイント (CDP) URI の決定](crl-planning.md#crl-url)。OmitExtension が「true」の場合、CustomCname を設定することはできません。
+ (オプション) S3 バケット内の CRL のカスタムパス。
+ (オプション) CRL が完了するかパーティション化されるかを決定する [CrlType](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CrlConfiguration.html#privateca-Type-CrlConfiguration-CrlType) 値。指定しない場合、CRL はデフォルトで完了します。
**注記**
`OcspConfiguration` オブジェクトと `CrlConfiguration` オブジェクトの両方を定義することで、同じ CA で両方の失効メカニズムを有効にできます。**--revocation-configuration** パラメータを指定しない場合、どちらのメカニズムもデフォルトで無効になります。後で失効検証のサポートが必要になった場合は、「[CA の更新 (CLI)](PCAUpdateCA.md#ca-update-cli)」を参照してください。
CLI の例については、次のセクションを参照してください。
------
## プライベート CA を作成するための CLI の例
以下の例では、`.aws` 設定ディレクトリに有効なデフォルトリージョン、エンドポイント、認証情報が設定されていることを前提としています。 AWS CLI 環境の設定については、[「設定と認証情報ファイルの設定](https://docs.aws.amazon.com/cli/latest/reference/cli-configure-files.html)」を参照してください。読みやすくするために、例のコマンドでは CA の設定と失効の入力を JSON ファイルで行っています。例のファイルは必要に応じて実際の使用に合わせて変更してください。
特に明記されていない限り、すべての例では `ca_config.txt` 設定ファイルを使用しています。
**ファイル: ca\$1config.txt**
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"www.example.com"
}
}
```
### 例 1: OCSP が有効な CA を作成する
この例では、失効ファイルはデフォルトの OCSP サポートを有効にし、 AWS Private CA レスポンダーを使用して証明書のステータスを確認します。
**ファイル: OCSP 用の revoke\$1config.txt**
```
{
"OcspConfiguration":{
"Enabled":true
}
}
```
**コマンド**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA
```
正常に実行されると、このコマンドは新しい CA の Amazon リソースネーム (ARN) を出力します。
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
certificate-authority/CA_ID"
}
```
**コマンド**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-2
```
作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
次のコマンドを使用して CA の設定を検査します。
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
この記述には、次のセクションが含まれているはずです。
```
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true
}
...
}
```
### 例 2: OCSP とカスタム CNAME が有効な CA を作成する
この例では、カスタマイズされた OCSP サポートが失効ファイルにより有効になっています。`OcspCustomCname` パラメータは、値として完全修飾ドメイン名 (FQDN) を使用します。
このフィールドに FQDN を指定すると、 は OCSP レスポンダーのデフォルト URL の代わりに、発行された各証明書の *Authority Information Access* 拡張機能に FQDN AWS AWS Private CA を挿入します。エンドポイントは、カスタム FQDN を含む証明書を受け取ると、そのアドレスに OCSP レスポンスを問い合わせます。このメカニズムを機能させるには、さらに 2 つのアクションを実行する必要があります。
+ プロキシサーバーを使用して、カスタム FQDN に到着したトラフィックを AWS OCSP レスポンダーに転送します。
+ 対応する CNAME レコードを DNS データベースに追加します。
**ヒント**
カスタム CNAME を使用して完全な OCSP ソリューションを実装する方法の詳細については、「[の OCSP URL をカスタマイズする AWS Private CA](ocsp-customize.md)」を参照してください。
例えば、Amazon Route 53 に表示されるようにカスタマイズされた OCSP の CNAME レコードを次に示します。
****
| レコード名 | タイプ | ルーティングポリシー | 差別化要因 | 値/トラフィックのルーティング先 |
| --- | --- | --- | --- | --- |
| alternative.example.com | CNAME | 低 | - | proxy.example.com |
**注記**
CNAME の値には、「http://」や「https://」などのプロトコルプレフィックスを含めることはできません。
**ファイル: OCSP 用の revoke\$1config.txt**
```
{
"OcspConfiguration":{
"Enabled":true,
"OcspCustomCname":"alternative.example.com"
}
}
```
**コマンド**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-3
```
作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
次のコマンドを使用して CA の設定を検査します。
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
この記述には、次のセクションが含まれているはずです。
```
"RevocationConfiguration": {
...
"OcspConfiguration": {
"Enabled": true,
"OcspCustomCname": "alternative.example.com"
}
...
}
```
### 例 3: CRL がアタッチされた CA を作成する
この例では、失効設定で CRL パラメータが定義されています。
**ファイル: revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"S3BucketName":"amzn-s3-demo-bucket"
}
}
```
**コマンド**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
次のコマンドを使用して CA の設定を検査します。
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
この記述には、次のセクションが含まれているはずです。
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket"
},
...
}
```
### 例 4: CRL がアタッチされカスタム CNAME が有効な CA を作成する
この例では、失効設定がカスタム CNAME を含む CRL パラメータを定義しています。
**ファイル: revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"CustomCname": "alternative.example.com",
"S3BucketName":"amzn-s3-demo-bucket"
}
}
```
**コマンド**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
次のコマンドを使用して CA の設定を検査します。
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
この記述には、次のセクションが含まれているはずです。
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "amzn-s3-demo-bucket",
...
}
}
```
### 例 5: CA を作成して使用モードを指定する
この例では、CA の作成時に CA 使用モードを指定します。指定しない場合、使用モードパラメータはデフォルトで GENERAL\$1PURPOSE になります。この例では、パラメータは SHORT\$1LIVED\$1CERTIFICATE に設定され、CA は最大有効期間が 7 日間の証明書を発行することになります。失効を設定すると不便な状況では、侵害された有効期間の短い証明書は、通常の操作の一環ですぐに期限切れになります。そのため、この例の CA には失効メカニズムがありません。
**注記**
AWS Private CA は、ルート CA 証明書の有効性チェックを実行しません。
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--usage-mode SHORT_LIVED_CERTIFICATE \
--tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE
```
次の[https://docs.aws.amazon.com/cli/latest/reference/acm-pca/describe-certificate-authority.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/describe-certificate-authority.html)コマンドに示すように AWS CLI 、 の コマンドを使用して、結果の CA の詳細を表示します。
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID
```
```
{
"CertificateAuthority":{
"Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
"CreatedAt":"2022-09-30T09:53:42.769000-07:00",
"LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
"Type":"ROOT",
"UsageMode":"SHORT_LIVED_CERTIFICATE",
"Serial":"serial_number",
"Status":"PENDING_CERTIFICATE",
"CertificateAuthorityConfiguration":{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"www.example.com"
}
},
"RevocationConfiguration":{
"CrlConfiguration":{
"Enabled":false
},
"OcspConfiguration":{
"Enabled":false
}
},
...
```
### 例 6: Active Directory ログインの CA を作成する
Microsoft Active Directory (AD) の Enterprise NTAuth ストアでの使用に適したプライベート CA を作成できます。このストアでは、カードログオン証明書またはドメインコントローラー証明書を発行できます。CA 証明書を AD にインポートする方法については、「[サード パーティ証明機関 (CA) 証明書を Enterprise NTAuth ストアにインポートする方法](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/import-third-party-ca-to-enterprise-ntauth-store)」を参照してください。
Microsoft [certutil](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/certutil) ツールを使用すると、**-dspublish** オプションを呼び出して CA 証明書を AD に発行できます。certutil を使用して AD に発行された証明書は、フォレスト全体で信頼されます。グループポリシーを使用すると、1 つのドメインやドメイン内のコンピュータのグループなど、フォレスト全体のサブセットに信頼を制限することもできます。ログオンが機能するためには、発行元の CA も NTAuth ストアで発行されている必要があります。詳細については、「[グループ ポリシーを使用してクライアントコンピューターに証明書を配布する](https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/distribute-certificates-to-client-computers-by-using-group-policy)」を参照してください。
この例では次の `ca_config_AD.txt` 設定ファイルを使用します。
**ファイル: ca\$1config\$1AD.txt**
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"CustomAttributes":[
{
"ObjectIdentifier":"2.5.4.3",
"Value":"root CA"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"example"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"com"
}
]
}
}
```
**コマンド**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config_AD.txt \
--certificate-authority-type "ROOT" \
--tags Key=application,Value=ActiveDirectory
```
作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
次のコマンドを使用して CA の設定を検査します。
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
この記述には、次のセクションが含まれているはずです。
```
...
"Subject":{
"CustomAttributes":[
{
"ObjectIdentifier":"2.5.4.3",
"Value":"root CA"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"example"
},
{
"ObjectIdentifier":"0.9.2342.19200300.100.1.25",
"Value":"com"
}
]
}
...
```
### 例 7: CRL がアタッチされ、CDP 拡張機能が発行された証明書から省略された Matter CA を作成する
Matter スマートホーム標準の証明書の発行に適したプライベート CA を作成できます。この例では、 の CA 設定は、ベンダー ID (VID) を FFF1 に設定して Matter Product Attestation Authority (PAA) `ca_config_PAA.txt`を定義します。
**ファイル: ca\$1config\$1PAA.txt**
```
{
"KeyAlgorithm":"EC_prime256v1",
"SigningAlgorithm":"SHA256WITHECDSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"SmartHome",
"State":"WA",
"Locality":"Seattle",
"CommonName":"Example Corp Matter PAA",
"CustomAttributes":[
{
"ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
"Value":"FFF1"
}
]
}
}
```
失効設定は CRLs を有効にし、発行された証明書からデフォルトの CDP URL を省略するように CA を設定します。
**ファイル: revoke\$1config.txt**
```
{
"CrlConfiguration":{
"Enabled":true,
"ExpirationInDays":7,
"S3BucketName":"amzn-s3-demo-bucket",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
}
}
```
**コマンド**
```
$ aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config_PAA.txt \
--revocation-configuration file://revoke_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 \
--tags Key=Name,Value=MyPCA-1
```
作成されると、このコマンドは CA の Amazon リソースネーム (ARN) を出力します。
```
{
"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}
```
次のコマンドを使用して CA の設定を検査します。
```
$ aws acm-pca describe-certificate-authority \
--certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
--output json
```
この記述には、次のセクションが含まれているはずです。
```
"RevocationConfiguration": {
...
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "amzn-s3-demo-bucket",
"CrlDistributionPointExtensionConfiguration":{
"OmitExtension":true
}
},
...
}
...
```