投稿日: Jan 19, 2021
AWS Certificate Manager (ACM) プライベート証明機関 (CA) が、CA およびエンドエンティティ証明書の発行において追加のカスタマイズオプションをサポートするようになり、スマートカード証明書を始めとする ID 証明書などの追加のユースケースを満たすことができるようになりました。お客様は、証明書属性を CSR (Certificate Signing Reque) に含めることに加えて、証明書の発行時に API 呼び出しを介して証明書属性を含めることができるようになりました。さらに、このリリースでは、クロックスキューや、電源障害が発生したときに過去の特定の日付に IoT などのデバイスをリセットする状況を考慮に入れて証明書の開始日時を構成できます。
ACM プライベート CA では、自社のプライベート CA を運用するための先行投資や継続的なメンテナンスにコストをかけずに、高可用性のプライベート CA を取得できます。このリリースでは、証明書の発行要求を行う際に CA に渡される CSR (Certificate Signing Request) を介して X.509v3 証明書延長を渡すことや、API を使用して証明書を要求する際に X.509v3 証明書延長を提供することができるようになったので、CA 管理者は、証明書要求に存在しない情報を証明書に追加することができます。例えば、CA 管理者は、エンタープライズディレクトリからのジョブやロールの情報など、クライアントが要求している証明書がアクセスできない件名情報をプログラミングによって証明書に追加できます。お客様は、この方法でエンドエンティティ証明書と下位 CA 証明書の両方を構成できます。例えば、スマートカードログイン用に発行されている証明書に API または CSR からのカスタム値を渡すことや、クロックスキューを考慮に入れて証明書の開始日時を設定することができます。また、Active Directory (AD) に格納されている情報から特定の拡張機能の値を API を使用して提供することもできます。AD およびプライベート CA に接続するサードパーティプロキシを使用すると、自動登録を使用して、これらのプライベート証明書を Active Directory および AD に接続されたデバイスで使用できます。
この新しい方法の詳細については、ACM プライベート CA のドキュメントを参照してください。
ACM プライベート CA が利用可能なリージョンの一覧については、AWS のリージョンおよびエンドポイントをご参照ください。