投稿日: Sep 3, 2021
AWS Certificate Manager (ACM) Private Certificate Authority (CA) は、証明書の失効情報を配信する Online Certificate Status Protocol (OCSP) の提供を開始したことを発表しました。暗号化された TLS 接続を確立する際、エンドポイントは OCSP を使用して、証明書が取り消されたかどうかをほぼリアルタイムで問い合わせることができます。そのため、エンドポイントに証明書が信頼できないことを警告します。この機能は、証明書が失効したことをエンドポイントに通知する、フルマネージドな OCSP ソリューションを提供するものです。インフラストラクチャを自ら管理・運用する必要はありません。
従来、ACM Private CA のお客様は、CRL を使用して ACM プライベート CA が発行した証明書の失効ステータスをチェックしたり、独自の OCSP を構築・管理したりしました。CRL は、ストレージが限られているエンドポイントには適しておらず、アクセスや解析のために追加のコンピューティングプロセスが必要となります。また、クライアントが CRL をダウンロードするのは 1 日 1 回かそれ以下の頻度であることが多いため、古くなってしまう可能性があります。OCSP レスポンダーを構築・運用するには、お客様がカスタム開発をしたうえで、標準的なメンテナンスを行い、OCSP の障害に備えて緊急イベントに対応する必要があります。
Private CA がフルマネージド OCSP を提供するようになりました。お客様は、コンソール、CloudFormation、API、またはコマンドラインを介して 1 回の操作で OCSP を有効にすることができ、新規または既存の CA に対してデプロイや導入の必要はありません。Private CA の OCSP は、あらゆる TLS エンドポイントが失効ステータスを直接照会できる証明書をデプロイすることを可能にし、ストレージと処理要件を OCSP レスポンダに移し、ステータスの陳腐化という問題を解決します。証明書を発行するお客様は、プライベート証明書の失効情報の配信方法として、OCSP か証明書失効リスト (CRL)、またはその両方を選択できるようになりました。
Private CA では、自社の Private CA を運用するための先行投資や継続的なメンテナンスにコストをかけずに、アベイラビリティの高い Private CA サービスを得られます。CA 管理者は Private CA を使用して、外部の CA を必要とせずに、オンラインのルート CA や下位 CA を含む完全な CA 階層を作成できます。Private CA では、リソースに対するプライベート証明書を、セキュアで従量課金制のマネージド型 Private CA サービスを用いて一元的に作成できます。OCSP 機能は Private CA のアドオンオプションです。OCSP 機能の価格は、ACM Private CA の価格ページで公開されています。
CA OCSP 機能は、AWS GovCloud を除く、Private CA がサポートするすべてのリージョンで利用可能です。Private CA がご利用可能なリージョンの一覧については、
AWS のリージョンならびにエンドポイントを参照してください
。
Private CA の使用を開始するには、開始方法のページをご覧ください。