とは AWS Private CA - AWS Private Certificate Authority
リージョナルな可用性統合サービスサポートされているアルゴリズムRFC 5280 コンプライアンス料金

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

とは AWS Private CA

AWS Private CA では、オンプレミス CA を運用するための投資とメンテナンスのコストをかけずに、ルート CA と下位 CAs を含むプライベート認証機関 (CA) 階層を作成できます。プライベート CA は、次のようなシナリオでエンドエンティティ X.509 証明書を発行できます。

  • 暗号化された TLS 通信チャネルの作成

  • ユーザー、コンピュータ、API エンドポイント、および IoT デバイスの認証

  • 暗号署名コード

  • 証明書失効ステータスを取得するためのオンライン証明書ステータスプロトコル (OCSP) の実装

AWS Private CA オペレーションには、 から AWS マネジメントコンソール、 AWS Private CA API を使用して、または を使用してアクセスできます AWS CLI。

トピック

のリージョンの可用性 AWS Private Certificate Authority

ほとんどの AWS リソースと同様に、プライベート認証機関 (CAs) はリージョンリソースです。複数のリージョンでプライベート CA を使用するには、それらのリージョンで CA を作成する必要があります。リージョン間でプライベート CA をコピーすることはできません。「AWS 全般のリファレンス」の「AWS リージョンとエンドポイント」、または「AWS リージョン表」で「 AWS Private CAを利用できるリージョン」を参照してください。

注記

ACM は現在、そう AWS Private CA でない一部のリージョンで利用できます。

と統合されたサービス AWS Private Certificate Authority

AWS Certificate Manager を使用してプライベート証明書をリクエストする場合、その証明書を ACM と統合された任意のサービスに関連付けることができます。これは、 AWS Private CA ルートに連鎖された証明書と外部ルートに連鎖された証明書の両方に適用されます。詳細については、「 AWS Certificate Manager ユーザーガイド」の「統合サービス」を参照してください。

プライベート CA を Amazon Elastic Kubernetes Service に統合して、Kubernetes クラスター内で証明書を発行することもできます。詳細については、「で Kubernetes を保護する AWS Private Certificate Authority」を参照してください。

注記

Amazon Elastic Kubernetes Service は ACM 統合サービスではありません。

AWS Private CA API または を使用して証明書 AWS CLI を発行したり、ACM からプライベート証明書をエクスポートしたりする場合は、任意の場所に証明書をインストールできます。

でサポートされている暗号化アルゴリズム AWS Private Certificate Authority

AWS Private CA は、プライベートキーの生成と証明書署名のために次の暗号化アルゴリズムをサポートしています。

サポートされているアルゴリズム
プライベートキーアルゴリズム 署名アルゴリズム

ML_DSA_44

ML_DSA_65

ML_DSA_87

RSA_2048

RSA_3072

RSA_4096

EC_prime256v1

EC_secp384r1

EC_secp521r1

SM2 (中国リージョンのみ)

ML_DSA_44

ML_DSA_65

ML_DSA_87

SHA256WITHRSA

SHA384WITHRSA

SHA512WITHRSA

SHA256WITHECDSA

SHA384WITHECDSA

SHA512WITHECDSA

SM3WITHSM2

このリストは、 コンソール、API、またはコマンドライン AWS Private CA を介して から直接発行された証明書にのみ適用されます。が から CA を使用して証明書 AWS Certificate Manager を発行する場合 AWS Private CA、これらのアルゴリズムの一部はサポートされますが、すべてはサポートされません。詳細については、「 AWS Certificate Manager ユーザーガイド」の「プライベート証明書のリクエスト」を参照してください。

注記

RSA または ECDSA の場合、指定された署名アルゴリズムファミリーは CA のプライベートキーのキーアルゴリズムファミリーと一致する必要があります。

ML-DSA の場合、ハッシュ関数はアルゴリズム自体の一部として定義されます。ML-DSA で別のハッシュ関数を選択するオプションはありません。APIs との下位互換性を維持するために、キーアルゴリズムと署名アルゴリズムに同じ値が使用されます。

での RFC 5280 コンプライアンス AWS Private Certificate Authority

AWS Private CA は、RFC 5280 で定義されている特定の制約を適用しません。逆も同様で、プライベート CA に適切な追加の制約が強制されます。

強制

  • 日付を過ぎると強制されませんRFC 5280 に準拠して、 AWS Private CA は、交付元 CA 認定の交付日よりも後の Not After Not After 日付を持つ証明書は発行しません。

  • 基本的な制約。インポートされた CA 証明書に基本的な制約とパスの長さ AWS Private CA を適用します。

    基本的な制約は、証明書によって識別されるリソースが CA であり、証明書を発行できるかどうかを示します。 AWS Private CA にインポートされる CA 認定には、基本的制約の拡張を含める必要があり、拡張に critical とマークする必要があります。critical フラグに加えて、 を設定CA=trueする必要があります。 は、次の理由で検証例外で失敗することで基本的な制約 AWS Private CA を適用します。

    • 拡張が CA 認定に含まれていない。

    • 拡張が critical とマークされていない。

    パスの長さ (pathLenConstraint) は、インポートCAs証明書のダウンストリームに存在する可能性のある下位 CA の数を決定します。 は、次の理由で検証例外で失敗することでパスの長さ AWS Private CA を適用します。

    • CA 認定をインポートすると、CA 認定またはチェーン内の任意の CA 認定のパスの長さ制約に違反する。

    • 証明書を発行すると、パスの長さの制約に違反する。

  • 名前の制約は、証明書パスの後続の証明書のすべてのサブジェクト名を配置する必要がある名前空間を示します。サブジェクト識別名とサブジェクト代替名には制限が適用されます。

強制されない

の料金 AWS Private Certificate Authority

アカウントを作成した時点で、各プライベート CA の月額料金が課金されます。また、発行する証明書ごとに課金されます。この料金には、ACM からエクスポートする証明書と、 AWS Private CA API または CLI AWS Private CA から作成した証明書が含まれます。プライベート CA が削除された後は、それに対して課金されません。ただし、プライベート CA を復元すると、削除と復元の間の料金が課金されます。プライベートキーにアクセスできないプライベート証明書については、料金は発生しません。これには、ELB、CloudFront、API Gateway などの統合サービスで使用される証明書が含まれます。

最新の AWS Private CA 料金情報については、AWS Private Certificate Authority 「 料金表」を参照してください。AWS 料金計算ツール でコストを見積もることもできます。