翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
とは AWS Private CA
AWS Private CA では、オンプレミス CA の運用に伴う投資やメンテナンスのコストをかけずにCAs、ルート や下位 などのプライベート認証機関 (CA) 階層を作成できます。プライベート CAsは、次のようなシナリオで役立つエンドエンティティ X.509 証明書を発行できます。
-
暗号化されたTLS通信チャネルの作成
-
ユーザー、コンピュータ、APIエンドポイント、および IoT デバイスの認証
-
暗号署名コード
-
証明書失効ステータスを取得するためのオンライン証明書ステータスプロトコル (OCSP) の実装
AWS Private CA オペレーションには、、 AWS Management Console、 AWS Private CA APIまたは を使用して からアクセスできます AWS CLI。
トピック
のリージョンの可用性 AWS Private Certificate Authority
ほとんどの AWS リソースと同様に、プライベート認証機関 (CAs) はリージョンリソースです。複数のリージョンCAsでプライベートを使用するには、それらのリージョンCAsで を作成する必要があります。リージョンCAs間でプライベートをコピーすることはできません。「AWS 全般のリファレンス」の「AWS リージョンとエンドポイント」、または「AWS リージョン表
注記
ACM は現在、そう AWS Private CA でない一部のリージョンで利用可能です。
と統合されたサービス AWS Private Certificate Authority
AWS Certificate Manager を使用してプライベート証明書をリクエストする場合、その証明書を と統合されている任意のサービスに関連付けることができますACM。これは、 AWS Private CA ルートに連鎖された証明書と、外部ルートに連鎖された証明書の両方に適用されます。詳細については、「 ユーザーガイド」の「統合サービス AWS Certificate Manager 」を参照してください。
プライベート CAsを Amazon Elastic Kubernetes Service に統合して、Kubernetes クラスター内で証明書を発行することもできます。詳細については、「で Kubernetes を保護する AWS Private CA」を参照してください。
注記
Amazon Elastic Kubernetes Service はACM統合サービスではありません。
または を使用して AWS Private CA API証明書 AWS CLI を発行したり、 からプライベート証明書をエクスポートしたりする場合はACM、任意の場所に証明書をインストールできます。
でサポートされている暗号化アルゴリズム AWS Private Certificate Authority
AWS Private CA では、プライベートキーの生成と証明書の署名に次の暗号化アルゴリズムをサポートしています。
プライベートキーアルゴリズム | 署名アルゴリズム |
---|---|
RSA_2048 RSA_4096 EC_prime256v1 EC_secp384r1 SM2 (中国リージョンのみ) |
SHA256WITHECDSA SHA384WITHECDSA SHA512WITHECDSA SHA256WITHRSA SHA384WITHRSASHA512WITHRSA SM3WITHSM2 |
このリストは、コンソール、、APIまたはコマンドライン AWS Private CA を介して によって直接発行された証明書にのみ適用されます。から CA を使用して証明書 AWS Certificate Manager を発行する場合 AWS Private CA、これらのアルゴリズムの一部はサポートされますが、すべてはサポートされません。詳細については、「 ユーザーガイド」の「プライベート証明書のリクエスト AWS Certificate Manager 」を参照してください。
注記
いずれの場合も、指定された署名アルゴリズムファミリー (RSA または ECDSA) は、CA のプライベートキーのアルゴリズムファミリーと一致する必要があります。
RFC での 5280 コンプライアンス AWS Private Certificate Authority
AWS Private CA は、RFC5280
強制
-
日付を過ぎると強制されません
。RFC 5280 に準拠して、 は発行元の CA の証明書 Not After
の日付より後のNot After
日付の証明書の発行 AWS Private CA を防止します。 -
基本的な制約
. AWS Private CA は、インポートされた CA 証明書に基本的な制約とパスの長さを適用します。 基本的な制約は、証明書によって識別されるリソースが CA であり、証明書を発行できるかどうかを示します。 AWS Private CA にインポートされる CA 認定には、基本的制約の拡張を含める必要があり、拡張に
critical
とマークする必要があります。critical
フラグに加えて、CA=true
を設定する必要があります。 は、次の理由で検証例外で失敗して基本的な制約 AWS Private CA を適用します。-
拡張が CA 認定に含まれていない。
-
拡張が
critical
とマークされていない。
パスの長さ (pathLenConstraint) はCAs、インポートされた CA 証明書の下流に存在する可能性のある下位 の数を決定します。 は、以下の理由で検証例外で失敗することで AWS Private CA パスの長さを適用します。
-
CA 認定をインポートすると、CA 認定またはチェーン内の任意の CA 認定のパスの長さ制約に違反する。
-
証明書を発行すると、パスの長さの制約に違反する。
-
-
名前の制約
は、証明書パスの後続の証明書のすべてのサブジェクト名を配置する必要がある名前空間を示します。サブジェクト識別名とサブジェクト代替名には制限が適用されます。
強制されない
-
証明書ポリシー
。証明書ポリシーは、CA が証明書を発行する条件を規制します。 -
を抑制しますanyPolicy
。に発行された証明書で使用されますCAs。 -
発行者の代替名
。CA 証明書の発行者との追加の ID の関連付けを許可します。 -
ポリシーの制限
これらの制約により、CA の下位 CA 認定を交付する機能が制限されます。 -
ポリシーマッピング
。CA 証明書で使用されます。の 1 つ以上のペアを一覧表示しますOIDs。各ペアには issuerDomainPolicy と が含まれますsubjectDomainPolicy。 -
サブジェクトディレクトリ属性
。サブジェクトの識別属性を伝えるために使用されます。 -
サブジェクト情報アクセス
。拡張機能が表示される証明書のサブジェクトの情報とサービスにアクセスする方法。 -
サブジェクトキー識別子 (SKI)
と権限キー識別子 (AKI) 。では、CA 証明書に SKI拡張機能が含まれているRFC必要があります。CA によって発行された証明書には、CA 証明書の と一致するAKI拡張子が含まれている必要がありますSKI。これらの要件は適用 AWS されません。CA 証明書に が含まれていない場合SKI、発行されたエンドエンティティまたは下位 CA 証明書AKIは、代わりに発行者のパブリックキーの SHA-1 ハッシュになります。 -
SubjectPublicKeyInfo
およびサブジェクトの別名 (SAN) 。証明書を発行すると、 AWS Private CA は検証を実行CSRせずに、提供された から SubjectPublicKeyInfo および SAN拡張機能をコピーします。
の料金 AWS Private Certificate Authority
アカウントを作成した時点で、各プライベート CA の月額料金が課金されます。また、発行する証明書ごとに課金されます。この料金には、 からエクスポートする証明書ACMと、 または から AWS Private CA API作成した証明書が含まれます AWS Private CA CLI。プライベート CA が削除された後は、それに対して課金されません。ただし、プライベート CA を復元すると、削除と復元の間の料金が課金されます。プライベートキーにアクセスできないプライベート証明書については、料金は発生しません。これには、Elastic Load Balancing 、 CloudFront、APIゲートウェイなどの統合サービスで使用される証明書が含まれます。
最新の AWS Private CA 料金情報については、「 の料金AWS Private Certificate Authority