翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# でプライベート証明書をリクエストする AWS Certificate Manager
<a name="gs-acm-request-private"></a>

## プライベート証明書のリクエスト (コンソール)
<a name="request-private-console"></a>

1.  AWS マネジメントコンソールにサインインし、[https://console.aws.amazon.com/acm/home](https://console.aws.amazon.com/acm/home) で ACM コンソールを開きます。

   **[Request a certificate]** (証明書のリクエスト) を選択します。

1. [**Request certificate**] (証明書のリクエスト) ページで、[**Request a private certificate**] (プライベート証明書のリクエスト) と [**Next**] (次へ) を選択して続行します。

1. [**Certificate authority details**] (認証権限の詳細) セクションで、[**Certificate authority**] (認証権限) メニューを選択し、使用可能なプライベート CA の 1 つを選択します。CA が別のアカウントから共有されている場合、ARN には所有権情報が付加されます。

   CA に関する詳細が表示され、正しい CA を選択したことについての確認に役立ちます。
   + **[所有者]**
   + **タイプ**
   + **共通名 (CN)**
   + **組織 (O)**
   + **組織単位 (OU)**
   + **国名 (C)**
   + **州または県**
   + **市区町村**

1. [**Domain names**] (ドメイン名) セクションで、ドメイン名を入力します。**www.example.com** のような完全修飾ドメイン名 (FQDN) や **example.com** のようなネイキッドドメインあるいは apex ドメイン名を使用できます。また、同じドメインで複数のサイト名を保護するために、最左位置にアスタリスク (**\***) をワイルドカードとして使用できます。たとえば、**\*.example.com** は、**corp.example.com** と **images.example.com** を保護します。ワイルドカード名は、ACM 証明書の **[Subject]** (件名) フィールドと **[Subject Alternative Name]** (サブジェクト代替名) 拡張子に表示されます。
**注記**  
ワイルドカード証明書をリクエストする場合、アスタリスク (**\***) はドメイン名の左側に付ける必要があり、1 つのサブドメインレベルのみを保護できます。たとえば、**\*.example.com** は **login.example.com** および **test.example.com** を保護できますが、**test.login.example.com** を保護することはできません。また、**\*.example.com**は、**example.com** のサブドメインのみを保護し、ネイキッドドメインまたは apex ドメイン (**example.com**) は保護しないことに注意してください。両方を保護するには、次のステップを参照してください。

   オプションで、[**この証明書に別の名前を追加**] を選択し、テキストボックスに名前を入力します。これは、ネイキッドドメインまたは apex ドメイン (**example.com** など) の両方とそのサブドメイン (**\*.example.com** など) の認証のために役立ちます。

1. **[Key algorithm]** (キーアルゴリズム) セクションで、アルゴリズムを選択します。

   アルゴリズムの選択に役立つ情報については、 AWS ブログ記事[「 で ECDSA 証明書を評価して使用する方法 AWS Certificate Manager](https://aws.amazon.com/blogs/security/how-to-evaluate-and-use-ecdsa-certificates-in-aws-certificate-manager/)」を参照してください。

1. [**Tags**] (タグ) セクションで、オプションで証明書にタグを付けることができます。タグは、 AWS リソースを識別して整理するためのメタデータとして機能するキーと値のペアです。ACM タグパラメータのリスト、および証明書作成後にタグを追加する方法については、[AWS Certificate Manager リソースにタグを付ける](tags.md) を参照してください。

1. [**Certificate renewal permissions**] (証明書の更新許可) セクションで、証明書の更新許可に関する通知を確認します。これらの許可により、選択した CA で署名するプライベート PKI 証明書を自動的に更新できます。詳細については、「[ACM でのサービスにリンクされたロールの使用](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)」を参照してください。

1. 必要な情報をすべて提供して、[**Request**] (リクエスト) を選択します。コンソールによって証明書リストに戻り、新しい証明書を表示できます。
**注記**  
リストの配列方法によっては、探している証明書がすぐには表示されない場合があります。右側の黒い三角形をクリックすると、配列を変更できます。また、右上のページ番号を使用して、証明書の複数のページを検索することもできます。

## プライベート証明書のリクエスト (CLI)
<a name="request-private-cli"></a>

ACM で [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) コマンドを使用してプライベート証明書をリクエストします。

**注記**  
CA によって署名されたプライベート PKI 証明書をリクエストする場合 AWS Private CA、指定された署名アルゴリズムファミリー (RSA または ECDSA) は CA のシークレットキーのアルゴリズムファミリーと一致する必要があります。

```
aws acm request-certificate \
--domain-name www.example.com \
--idempotency-token 12563 \
--certificate-authority-arn arn:aws:acm-pca:{{Region}}:{{444455556666}}:\
certificate-authority/{{CA_ID}}
```

このコマンドは、新しいプライベート証明書の Amazon リソースネーム (ARN) を出力します。

```
{
    "CertificateArn": "arn:aws:acm:{{Region}}:{{444455556666}}:certificate/{{certificate_ID}}"
}
```

ほとんどの場合、ACM は、共有 CA を初めて使用するときに、サービスにリンクされたロール (SLR) をアカウントに自動的にアタッチします。SLR によって、発行するエンドエンティティ証明書の自動更新が可能になります。SLR が存在するかどうかを確認するには、以下のコマンドを使用して IAM にクエリを実行することができます。

```
aws iam get-role --role-name AWSServiceRoleForCertificateManager
```

SLR が存在する場合、コマンドの出力は次のようになります。

```
{
   "Role":{
      "Path":"/aws-service-role/acm.amazonaws.com/",
      "RoleName":"AWSServiceRoleForCertificateManager",
      "RoleId":"AAAAAAA0000000BBBBBBB",
      "Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
      "CreateDate":"2020-08-01T23:10:41Z",
      "AssumeRolePolicyDocument":{
         "Version":"2012-10-17",		 	 	 
         "Statement":[
            {
               "Effect":"Allow",
               "Principal":{
                  "Service":"acm.amazonaws.com"
               },
               "Action":"sts:AssumeRole"
            }
         ]
      },
      "Description":"SLR for ACM Service for accessing cross-account Private CA",
      "MaxSessionDuration":3600,
      "RoleLastUsed":{
         "LastUsedDate":"2020-08-01T23:11:04Z",
         "Region":"ap-southeast-1"
      }
   }
}
```

SLR がない場合は、「[ACM でのサービスにリンクされたロールの使用](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)」を参照してください。