AWS Certificate Manager パブリック証明書の特徴と制限

ACM 証明書は、Google Chrome、Microsoft Edge、そして Mozilla Firefox および Apple Safari を含むすべての主要なブラウザから信頼されています。ACM 証明書を使用しているサイトに TLS で接続すると、ブラウザにロックアイコンが表示されます。Java は ACM 証明書も信頼します。

ACM を通じてリクエストしたパブリック証明書は、Amazon が管理するパブリック認証局 (CA) である Amazon Trust Services から取得されます。Amazon ルート CA 1 ～ 4 は、Starfield G2 Root Certificate Authority - G2 によってクロス署名されています。Starfield ルートは、Android (Gingerbread 以降のバージョン) および iOS (バージョン 4.1 以降) で信頼されています。Amazon ルートは iOS 11 以降で信頼されています。Amazon または Starfield ルートを含むブラウザ、アプリケーション、または OS は、ACM パブリック証明書を信頼します。

ACM は、証明書タイプ (RSA または ECDSA) に基づいてランダムに割り当てられた中間 CA を通じて、お客様にリーフ証明書またはエンドエンティティ証明書を発行します。ACM は、このランダム選択のため、中間 CA 情報を提供しません。

ACM 証明書はドメイン検証され、ドメイン名のみを識別します。ACM 証明書をリクエストする場合、指定されたすべてのドメインの所有権またはコントロールを証明する必要があります。E メールまたは DNS を使用して所有権を検証できます。詳しくは、AWS Certificate Manager DNS での検証 または AWS Certificate Manager E メール検証 を参照してください。

ACM は、CloudFront で使用するパブリック TLS 証明書を発行する際に、ドメイン所有権の検証のための HTTP 検証をサポートします。この方法では、HTTP リダイレクトを使用してドメインの所有権を証明し、DNS 検証と同様の自動更新を提供します。HTTP 検証は現在、CloudFront Distribution Tenants 機能を通じてのみ使用できます。

HTTP 検証の場合、ACM は RedirectFrom URL と RedirectTo URL を提供します。ドメイン制御を実証するには、RedirectTo から RedirectFrom へのリダイレクトを設定する必要があります。RedirectFrom URL には検証済みドメインが含まれ、RedirectTo は一意の検証トークンを含む CloudFront インフラストラクチャ内の ACM 制御のロケーションを指します。

別のサービスによって管理される ACM の証明書は、ManagedBy フィールドでサービスの ID を示します。CloudFront で HTTP 検証を使用する証明書の場合、このフィールドには「CLOUDFRONT」と表示されます。これらの証明書は CloudFront を通じてのみ使用できます。ManagedBy フィールドは、DescribeCertificate と ListCertificates API、および ACM コンソールの証明書インベントリと詳細ページに表示されます。

ManagedBy フィールドは、「使用できる」属性と相互に排他的です。CloudFront マネージド証明書の場合、他の AWS サービスを通じて新しい使用状況を追加することはできません。これらの証明書は、CloudFront API を通じて追加のリソースでのみ使用できます。

Amazon は、復元力のある証明書インフラストラクチャを維持するために、事前の通知なしに中間認証機関を廃止することがあります。これらの変更は、お客様には影響しません。詳細については、「Amazon introduces dynamic intermediate certificate authorities」(Amazon が動的中間認証機関を導入) を参照してください。

Amazon がルート CA を中止すると、変更は必要に応じて速やかに行われます。Amazon は、AWS Health Dashboard、E メール、テクニカルアカウントマネージャーへの連絡など、利用可能なすべての方法を使用して AWS のお客様に通知します。

取り消されたエンドエンティティ証明書は、OCSP と CRL を使用して失効情報を検証し、発行します。一部のお客様のファイアウォールでは、これらのメカニズムを許可するために追加のルールが必要になる場合があります。

失効トラフィックを特定するには、次の URL ワイルドカードパターンを使用します。

アスタリスク (*) は 1 つ以上の英数字、疑問符 (?) は単一の英数字を表し、ハッシュマーク (#) は数字を表します。

証明書では、アルゴリズムやキーサイズを指定する必要があります。ACM は、以下の RSA および ECDSA パブリックキーアルゴリズムをサポートしています。

ACM は、アスタリスク (*) でマークされたアルゴリズムを使用して新しい証明書をリクエストできます。他のアルゴリズムは、インポートされた証明書でのみサポートされます。

ECDSA キーは同等のセキュリティの RSA キーよりも小さく計算効率も優れていますが、すべてのネットワーククライアントが ECDSA をサポートしているわけではありません。この表は、NIST から適用され、同等のセキュリティ強度における RSA と ECDSA のキーサイズ (ビット単位) を比較しています。

セキュリティの強度は 2 の累乗で、暗号化をを解読するために必要な推測回数に関係します。例えば、3072 ビットの RSA キーと 256 ビットの ECDSA キーはどちらも、2¹²⁸ 回以下の推測で取得できます。

アルゴリズムの選択に役立つ情報については、AWSブログ記事「AWS Certificate Manager で ECDSA 証明書を評価して使用する方法」を参照してください。

ACM は、ACM 証明書の更新とプロビジョニングを管理します。自動更新は、証明書の設定ミス、失効、期限切れによるダウンタイムを防止することができます。詳しくは、AWS Certificate Manager のマネージド証明書の更新 を参照してください。

各 ACM 証明書には、少なくとも 1 つの完全修飾ドメイン名 (FQDN) が含まれる必要があり、追加の名前を付けくわえることができます。たとえば、www.example.com の証明書には www.example.net を含めることもできます。これは、ベアドメイン (Zone Apexまたは裸ドメイン) にも適用されます。つまり、www.example.com に証明書をリクエストし、example.com という名前を追加できます。詳しくは、AWS Certificate Manager パブリック証明書 を参照してください。

国際化ドメイン名 については、次の Punycode 要件を満たす必要があります。

ACM 証明書の有効期間は 13 か月 (395 日) です。

ACM は、ドメイン名にアスタリスク (*) を使うことで、同じドメイン内の複数のサイトを保護するワイルドカード証明書を作成できます。たとえば、*.example.com は、www.example.com と images.example.com を保護します。

ワイルドカード証明書では、アスタリスク (*) はドメイン名の左側に付ける必要があり、1 つのサブドメインレベルのみを保護できます。たとえば、*.example.com は login.example.com と test.example.com を保護しますが、test.login.example.com は保護しません。また、*.example.com は、サブドメインのみを保護し、ベアドメインまたは apex ドメイン (example.com) は保護しないことに注意してください。ベアドメインとそのサブドメインの両方の証明書をリクエストするには、example.com や *.example.com などの複数のドメイン名を指定します。