AWS プライベート CA コンソールに下位 CA 証明書をインストールしても、共有 CA が表示されない理由を教えてください。
共有された AWS プライベート認証局が AWS プライベート CA コンソールに表示されません。または、下位認証局 (CA) をインストールすると、次のエラーが表示されます。 「適切なプライベート CA が見つかりませんでした。」
解決策
AWS プライベート CA コンソールで共有 AWS プライベート CA を検索するには、その AWS プライベート CA の証明書署名リクエスト (CSR) に署名します。次に、署名された CA 証明書を AWS プライベート CA にインポートします。
この解決策では、次の構成を使用します。
- AWS アカウント A は、1 つのプライベート CA (PCA-A) を所有しています。
- AWS アカウント B は、別のプライベート CA (PCA-B) を所有しています。
- PCA-A は PCA-B の親 CA です。
- アカウント A が、AWS Resource Access Manager (AWS RAM) を使用して PCA-A をアカウント B と共有します。
- アカウント B が PCA-B を設定します。
AWS プライベート CA から CSR を取得する
AWS プライベート CA から CSR を取得するには、AWS コマンドラインインターフェイス (AWS CLI) または AWS プライベート CA コンソールを使用します。
AWS CLI
**注:**AWS CLI のコマンドの実行時にエラーが発生する場合は、「AWS CLI エラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。
get-certificate-authority-csr コマンドを実行します。
$ aws acm-pca get-certificate-authority-csr \ --certificate-authority ${ARN_PCA_B} \ --output text \ --no-cli-pager
注: ${ARN_PCA_B} は、お使いの証明書の ARN に置き換えてください。
AWS プライベート CA コンソール
次の手順を実行します。
- AWS プライベート CA コンソールを開きます。
- 下位 CA を選択します。
- [アクション] を選択し、[CA 証明書のインストール] を選択します。
- CSR を取得するには、外部プライベート CA を選択します。BEGIN CERTIFICATE REQUEST と END CERTIFICATE REQUEST の間のテキストが CSR です。
- CSR をテキストファイル (csr.txt) として保存します。
親 CA で CSR に署名して CA 証明書を作成する
親 CA を使用してプライベート CA の CSR に署名します。テンプレートを指定する必要があります。テンプレートを指定しなかった場合は、CA が使用できない EE 証明書 (CA:FALSE) となります。詳細については、「証明書テンプレートについて」を参照してください。
CA: TRUE の証明書に署名するには、下位 CA のテンプレートを指定し、次のコマンドを実行します。
$ ARN_CA_TEMPLATE=arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1 $ aws acm-pca issue-certificate \ --certificate-authority-arn ${ARN_PCA_A} \ --csr fileb://csr.txt \ --signing-algorithm "SHA256WITHRSA" \ --validity Value=1825,Type="DAYS" \ --template-arn ${ARN_CA_TEMPLATE}
上記のコマンドでは、次の値をお使いの値で置き換えてください。
- arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1 をお使いの CA テンプレートで置き換えます。
- ${ARN_PCA_A} を親 CA の ARN で置き換えます。
- csr.txt を取得した CSR テキストファイルで置き換えます。
注: AWS CLI バージョン 1.6.2 以前を使用している場合は、入力ファイルを記入するときに file:// プレフィックスを使用してください。 - SHA256WITHRSA をお使いの署名アルゴリズムで置き換えます。
- 1825 は、証明書を有効にする日数で置き換えます。
- $ {ARN\ _CA\ _TEMPLATE} をお使いのテンプレートの ARN で置き換えます。
注: アカウント B で CSR に署名するには、追加のアクセス許可が必要な場合があります。アカウント A の AWS RAM マネージドアクセス許可を使用して、AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority を追加します。
CSR に署名すると、次の応答が表示されます。
{ "CertificateArn": "${ARN_PCA_A}/certificate/${SERIAL_of_Cert}" }
次のステップで使用する署名付き CA 証明書の ARN を書き留めておきます。
CA 証明書を取得する
次のコマンドを実行します。
$ aws acm-pca get-certificate \ --certificate-authority-arn ${ARN_PCA_A} \ --certificate-arn ${ARN_PCA_A}/certificate/${SERIAL_of_Cert} \ --output text \ --no-cli-pager
注: $(ARN_PCA_A} を親 CA の ARN に、${ARN_PCA_A}/certificate/${SERIAL-of-Cert} を署名された CA 証明書の ARN に置き換えてください。
証明書本体とチェーンが生成されます。
-----BEGIN CERTIFICATE----- MIIDMDCCAhigAwIBAgIRAOn36lnqs4DTjbdZK3GoRLwwDQYJKoZIhvcNAQELBQAw IDEeMBwGA1UEAwwVbXktUk9PVC1DQS0yMDI0LTA1LTExMB4XDTI0MDUxMTA1MjMz N1oXDTI0MDUxNzA2MjMzN1owHzEdMBsGA1UEAwwUbXktU1VCLUNBLTIwMjQtMDUt (SNIP) q02OPtAOrFyWSdrc+5LMZaZzeo6xe0Mw2mJHU8FKl66V2CE+MBbUdwqWN1kOWdTs U+FhS5IV4KeST0X+lfYh3SkR+0dZBU5arV13w5MATgEYc1D9GajC25MT7Zy4t/NP zddAJA== -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIDDTCCAfWgAwIBAgIRAMQmowipJbQz3jok7kFkPSswDQYJKoZIhvcNAQELBQAw IDEeMBwGA1UEAwwVbXktUk9PVC1DQS0yMDI0LTA1LTExMB4XDTI0MDUxMTA1MTkx OVoXDTI0MDUxODA2MTkxOVowIDEeMBwGA1UEAwwVbXktUk9PVC1DQS0yMDI0LTA1 (SNIP) 2wZ6JqUvN/FyWVKTfyNay/KbQkYQZrclrb7N+zmOJ4LTQnI2firIDYqcqmduYuX9 U8F3MFXrVJFECyn5t+4Qxc/BWJPVAoHnEns+jL5tOJfRKblKHs9VAe02gUcr5/p3 qSy6CwOSAA6fkmZCkVjVvYo= -----END CERTIFICATE-----
最初の BEGIN CERTIFICATE と最初の END CERTIFICATE の間にあるものが証明書本文です。2 番目の BEGIN CERTIFICATE と 2 番目の END CERTIFICATE の間にあるものが証明書チェーンです。証明書本文を cert.txt という名前のテキストファイルとして保存します。証明書チェーンを cert_chain.txt という名前のテキストファイルとして保存します。
署名された CA 証明書とチェーンを CA にインポートしてインストールする
署名付き証明書をインストールするには、AWS CLI または AWS プライベート CA コンソールを使用します。
AWS CLI
次のコマンドを実行して、証明書本文と証明書チェーンをアタッチします。
$ aws acm-pca import-certificate-authority-certificate \ --certificate-authority-arn ${ARN_PCA_B} \ --certificate fileb://cert.txt \ --certificate-chain fileb://cert_chain.txt
注: ${ARN_PCA_B} は、お使いのプライベート CA の ARN に置き換えてください。
AWS プライベート CA コンソール
次の手順を実行します。
- AWS プライベート CA コンソールを開きます。
- 下位 CA を選択します。
- [アクション] を選択し、[CA 証明書のインストール] を選択します。
- 外部プライベート CA を選択します。
- [署名された認証局 (CA) のインポート] に、証明書の本文とチェーンの値を入力します。
下位 CA のステータスが有効になりました。
関連するコンテンツ
- 質問済み 5年前lg...
- 承認された回答質問済み 10ヶ月前lg...
- AWS公式更新しました 2年前
- AWS公式更新しました 1ヶ月前
- AWS公式更新しました 1ヶ月前