AWS Private CA 証明書失効メソッドを計画する - AWS Private Certificate Authority
要件

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Private CA 証明書失効メソッドを計画する

PKI でプライベートを計画するときは AWS Private CA、エンドポイントのプライベートキーが公開されるときなど、エンドポイントが発行された証明書を信頼しなくなった場合の処理方法を検討する必要があります。この問題に対する一般的なアプローチは、有効期間の短い証明書を使用するか、証明書失効を設定することです。有効期間が短い証明書は、数時間または数日という短い期間で期限切れになるため、失効しても意味がありません。エンドポイントに失効を通知するのとほぼ同じ時間で証明書が無効になります。このセクションでは、設定やベストプラクティスなど、 AWS Private CA ユーザー向けの失効オプションについて説明します。

失効方法をお探しのお客様は、オンライン証明書ステータスプロトコル (OCSP)、証明書失効リスト (CRLs)、またはその両方を選択できます。

注記

失効を設定せずに CA を作成した場合は、後からいつでも設定できます。詳細については、「でプライベート CA を更新する AWS Private Certificate Authority」を参照してください。

  • オンライン証明書ステータスプロトコル (OCSP)

    AWS Private CA は、顧客がインフラストラクチャ自体を運用することなく、証明書が取り消されたことをエンドポイントに通知するフルマネージドOCSPソリューションを提供します。お客様は、 AWS Private CA コンソール、、、または を使用してCLI、単一のオペレーションCAsで新規または既存の APIOCSPで を有効にできます AWS CloudFormation。CRLs はエンドポイントに保存および処理され、古くなる可能性がありますが、OCSPストレージと処理の要件はレスポンダーバックエンドで同期的に処理されます。

    CA OCSPで を有効にすると、 は発行された各新しい証明書URLの Authority Information Access (AIA) 拡張機能にレスOCSPポンダーの AWS Private CA を含めます。拡張により、ウェブブラウザなどのクライアントは、レスポンダーにクエリを実行して、エンドエンティティおよび下位 CA 証明書が信頼できるかどうかを判断できるようになります。レスポンダーは、本物であることを保証するための暗号的に署名されたステータスメッセージを返します。

    レスポンダーは AWS Private CA OCSPRFC5019 に準拠しています。

    OCSP 考慮事項

    • OCSP ステータスメッセージは、発行 CA が使用するように設定されたものと同じ署名アルゴリズムを使用して署名されます。CAs コンソールで AWS Private CA 作成された は、デフォルトでSHA256WITHRSA署名アルゴリズムを使用します。サポートされている他のアルゴリズムについては、 CertificateAuthorityConfigurationAPIドキュメントを参照してください。

    • APIPassthrough および CSRPassthrough 証明書テンプレートは、OCSPレスポンダーが有効になっている場合、AIA拡張機能では機能しません。

    • マネージドOCSPサービスのエンドポイントは、パブリックインターネットからアクセスできます。パブリックエンドポイントを希望しているOCSPが、希望していないお客様は、独自のOCSPインフラストラクチャを運用する必要があります。

  • 証明書失効リスト (CRLs)

    には、取り消された証明書のリストCRLが含まれています。を生成するように CA を設定するとCRLs、 は発行された新しい証明書ごとにCRLディストリビューションポイント拡張機能 AWS Private CA を含めます。この拡張機能は、 URLの を提供しますCRL。拡張機能を使用すると、ウェブブラウザなどのクライアントが をクエリCRLし、エンドエンティティまたは下位 CA 証明書を信頼できるかどうかを判断できます。

クライアントはローカルでダウンロードCRLsして処理する必要があるため、 よりもメモリを大量に消費しますOCSP。CRLs は、新しい接続の試行ごとに失効ステータスをチェックOCSPする と比較して、 のリストCRLsがダウンロードおよびキャッシュされるため、ネットワーク帯域幅を消費する可能性があります。

注記

OCSP と の両方は、取り消しとステータス変更の可用性の間にある程度の遅延CRLsを示します。

  • OCSP 証明書を取り消すと、新しいステータスが反映されるまでに最大 60 分かかる場合があります。一般的に、 は、クライアントが数日間キャッシュCRLsできる とは異なり、通常、OCSPレスポンスはクライアントによってキャッシュされないため、失効情報のより迅速な配布をサポートするOCSP傾向があります。

  • は通常CRL、証明書が取り消されてから約 30 分後に更新されます。何らかの理由でCRL更新が失敗した場合、 は 15 分ごとにさらに試行 AWS Private CA します。

失効設定の一般要件

すべての失効設定には、次の要件が適用されます。

  • CRLs または を無効にする設定には Enabled=Falseパラメータのみを含めるOCSP必要があり、 CustomCname や などの他のパラメータExpirationInDaysが含まれていると失敗します。

  • CRL 設定では、 S3BucketNameパラメータは Amazon Simple Storage Service バケット命名ルール に準拠する必要があります。

  • CRLs または のカスタム正規名 (CNAME) パラメータを含む設定OCSPは、 での特殊文字の使用に関する RFC7230 の制限に従う必要がありますCNAME。

  • CRL または OCSP設定では、CNAMEパラメータの値にhttp://"」やhttps://".」などのプロトコルプレフィックスを含めることはできません。

トピック