サードパーティーのパブリック SSL/TLS 証明書を AWS Certificate Manager (ACM) にインポートできないのはなぜですか?

所要時間1分

サードパーティー SSL/TLS 証明書を AWS Certificate Manager (ACM) にインポートしようとしたところ、エラーメッセージを受け取りました。証明書を ACM にインポートできないのはなぜですか?

簡単な説明

サードパーティー SSL/TLS 証明書を ACM にインポートしようとしたところ、次のようなエラーメッセージの 1 つを受け取りました。

証明書の最大数に達しました。使用していない証明書を削除する、または AWS Supportに問い合わせて制限の引き上げを依頼してください。
証明書フィールドに複数の証明書が含まれています。このフィールドで指定できる証明書は 1 件のみです。
証明書チェーンを認証できません。証明書チェーンは即時署名証明書で始まり、その後、その順序で中間証明書が続く必要があります。無効な証明書のチェーン内のインデックスは 0 です。
この証明書チェーンで証明書を認証できません。
プライベートキーの長さがキーアルゴリズムでサポートされていません。
入力された証明書本文/チェーンが有効な PEM 形式ではない、InternalFailure、または証明書を解析できません。証明書が PEM 形式であることを確認してください。
プライベートキーがサポートされていません。
有効な自己署名証明書ではない証明書。

解決方法

エラーメッセージに適した手順に従ってください。

注意:

AWS Command Line Interface (AWS CLI) のコマンド実行時にエラーが発生した場合は、最新バージョンの AWS CLI を使用していることを確認してください。
サードパーティの SSL/TLS 証明書および ACM に統合されたサービスをインポートできます。お使いの証明書が証明書をインポートする前提条件を満たしていることを確認してください。

「証明書の最大数に達しました。使用していない証明書を削除する、または AWS Supportに問い合わせて制限の引き上げを依頼してください。」

デフォルトで、ACM には最大 1000 件の証明書をインポートできますが、新しい AWS アカウントは低い上限で開始される場合があります。この制限を超える場合は、ACM クォータの引き上げを要求します。

このエラーメッセージが表示されるが、アカウントの証明書数が 1,000 を超えていない場合は、1 年間にインポートできる証明書の制限を超えている可能性があります。インポートできる 1 年あたりの証明書数は、デフォルトでアカウント上限値の 2 倍になっています。例えば、上限が証明書 100 件である場合、1 年あたり最大 200 件の証明書をインポートできます。これには、過去 365 日間にインポートした証明書と削除した証明書が含まれます。上限に達した場合は、AWS Supportに問い合わせて、制限の引き上げを依頼してください。詳細については、ACM ユーザーガイドのクォータを参照してください。

「証明書フィールドに複数の証明書が含まれています。このフィールドで指定できる証明書は 1 件のみです。」

証明書をインポートしている場合、[Certificate body] フィールドに完全な証明書チェーンをアップロードしないでください。証明書バンドルを受け取った場合、そのバンドルにはサーバー証明書と認証機関 (CA) からの証明書チェーンが含まれている可能性があります。証明書署名要求 (CSR) 生成時に作成された各ファイル (証明書、中間証明書とルート証明書を含む証明書チェーン、プライベートキー) をバンドルから分離します。その後、ファイルを PEM 形式に変更し、個別に ACM にアップロードします。証明書バンドルを PEM 形式に変換するには、トラブルシューティングを参照してください。

「証明書チェーンを認証できません。証明書チェーンは直接の署名証明書から始め、その後中間証明書を順序通りに入力する必要があります。無効な証明書のチェーン内のインデックスは 0 です」

証明書を ACM にインポートするときは、証明書を証明書チェーンに含めないでください。証明書チェーンには、中間証明書とルート証明書だけを含める必要があります。証明書チェーンは、中間証明書で始まり、ルート証明書で終わっている必要があります。

「この証明書チェーンで証明書を認証できませんでした。」

ACM が証明書を提供された証明書チェーンと一致させることができない場合は、証明書チェーンが証明書に関連付けられていることを確認します。さらにサポートが必要な場合は、証明書プロバイダーに連絡する必要があります。

「プライベートキーの長さ <key_length> がキーのアルゴリズムでサポートされていません。」

X.509証明書または証明書要求を作成するときに、プライベートキーとパブリックキーのペアを作成するために使用する必要があるアルゴリズムとキーのビットサイズを指定します。証明書のキーが証明書のインポートの前提条件を満たしていることを確認します。キーがキーのサイズまたはアルゴリズムに関する要件を満たしている場合は、サポートされているキーのサイズとアルゴリズムを使用して証明書を再発行するように証明書プロバイダーに依頼します。

「入力された証明書本文/チェーンが有効な PEM 形式ではありません」、「InternalFailure」、または「証明書を解析できません。証明書が PEM 形式であることを確認してください。」

証明書本文、プライベートキー、または証明書チェーンが PEM 形式ではない場合は、ファイルを変換する必要があります。証明書ファイルに適切な証明書本文が含まれていない場合は、ファイルを変換する必要があります。証明書または証明書チェーンを DER 形式から PEM 形式に変換するには、トラブルシューティングを参照してください。

「プライベートキーがサポートされていません。」

AWS CLI を使って証明書を ACM にインポートする場合は、証明書ファイルの内容 (証明書本文、プライベートキー、および証明書チェーン) を文字列として渡します。証明書、証明書チェーン、およびプライベートキーは、それらのファイル名の前に file:// を付けて指定する必要があります。詳細については、import-certificate を参照してください。

注意: キーにはファイルパス file://key.pem、証明書にはファイルパス file://certificate.pem を使用するようにしてください。ファイルパスを含めないと、次のようなエラーメッセージが表示されることがあります。「プライベートキーはサポートされていません。」または「証明書が無効です。」

「提供された証明書は有効な自己署名のものではありません。有効な自己署名証明書または証明書チェーンのいずれかを提供してください。」

インポートしようとした証明書は、自己署名証明書ではありません。自己署名証明書の場合は、証明書とプライベートキーの両方を指定する必要があります。証明書が CA によって署名されている場合は、証明書チェーン、プライベートキー、および証明書を指定する必要があります。