サードパーティーのパブリック SSL/TLS 証明書を AWS Certificate Manager (ACM) にインポートできないのはなぜですか?

最終更新日: 2019 年 7 月 9 日

サードパーティー SSL/TLS 証明書を AWS Certificate Manager (ACM) にインポートしようとしたところ、エラーメッセージを受け取りました。証明書を ACM にインポートできないのはなぜですか?

簡単な説明

サードパーティー SSL/TLS 証明書を ACM にインポートしようとしたところ、次のようなエラーメッセージの 1 つを受け取りました。

  • 証明書の最大数に達しました。使用していない証明書を削除する、または AWS サポートに問い合わせて制限の引き上げを依頼してください。
  • 証明書フィールドに複数の証明書が含まれています。このフィールドで指定できる証明書は 1 件のみです。
  • 証明書チェーンを認証できません。証明書チェーンは直接の署名証明書から始め、その後中間証明書を順序通りに入力する必要があります。無効な証明書のチェーン内のインデックスは 0 です。
  • この証明書チェーンで証明書を認証できません。
  • プライベートキーの長さ <key_length> がキーアルゴリズムにサポートされていません。
  • 入力された証明書本文/チェーンが有効な PEM 形式ではない、InternalFailure、または証明書を解析できません。証明書が PEM 形式であることを確認してください。
  • プライベートキーがサポートされていません。

解決方法

エラーメッセージに適した手順に従ってください。

注意: サードパーティー SSL/TLS 証明書をインポートして、その証明書を AWS のサービスに統合できます。お使いの証明書が証明書をインポートする前提条件を満たしていることを確認してください。

「証明書の最大数に達しました。使用していない証明書を削除する、または AWS サポートに問い合わせて制限の引き上げを依頼してください。」

デフォルトで、ACM には最大 1000 件の証明書をインポートできますが、新しい AWS アカウントは低い上限で開始される場合があります。この上限を超過した場合は、AWS サポートに問い合わせて、制限の引き上げを依頼してください。

アカウントの証明書が 1000 件を超えていないのにこのエラーメッセージを受け取った場合は、1 年間にインポートできる証明書の上限を超過した可能性があります。インポートできる 1 年あたりの証明書数は、デフォルトでアカウント上限値の 2 倍になっています。例えば、上限が証明書 100 件である場合、1 年あたり最大 200 件の証明書をインポートできます。これには、過去 365 日間にインポートした証明書と削除した証明書が含まれます。上限に達した場合は、AWS サポートに問い合わせて、制限の引き上げを依頼してください。詳細については、ACM ユーザーガイドの「制限」を参照してください。

「証明書フィールドに複数の証明書が含まれています。このフィールドで指定できる証明書は 1 件のみです。」

証明書をインポートしている場合は、証明書本文フィールドに証明書チェーン全体をアップロードしないでください。証明書バンドルを受け取った場合は、バンドルに認証機関 (CA) からのサーバー証明書と証明書チェーンが含まれている場合があります。バンドルから証明書署名要求 (CSR) が生成された時に作成された各ファイル (証明書、中間証明書とルート証明書を含めた証明書チェーン、およびプライベートキー) を分けて、ファイルを PEM 形式に変換してから、各ファイルを ACM に個別にアップロードします。証明書バンドルを PEM 形式に変換するには、「トラブルシューティング」を参照してください。

「証明書チェーンを認証できません。証明書チェーンは直接の署名証明書から始め、その後中間証明書を順序通りに入力する必要があります。無効な証明書のチェーン内のインデックスは 0 です」

ACM に証明書をインポートするときは、証明書チェーン内に証明書を含めないでください。証明書チェーンには、中間証明書とルート証明書のみが含まれている必要があります。証明書チェーンは順序通りでなければならず、中間証明書から始めてルート証明書で終了します。

「この証明書チェーンで証明書を認証できませんでした。」

ACM が提供された証明書チェーンに証明書を一致させることができない場合は、証明書チェーンがお使いの証明書に関連付けられていることを確認してください。証明書プロバイダーに連絡して、さらなるサポートを受けることが必要になる場合もあります。

「プライベートキーの長さ <key_length> がキーアルゴリズムにサポートされていません。」

X.509 証明書または証明書リクエストを作成するときは、プライベート/パブリックキーペアを作成するために使用される必要があるアルゴリズムとキービットサイズを指定します。お使いの証明書キーが証明書をインポートする前提条件をキー満たしていることを確認してください。キーがキーサイズまたはアルゴリズムの条件を満たさない場合は、サポートされるキーサイズとアルゴリズムで証明書を再発行するよう証明書プロバイダーに依頼してください。

「入力された証明書本文/チェーンが有効な PEM 形式ではありません」、「InternalFailure」、または「証明書を解析できません」。証明書が PEM 形式であることを確認してください。」

証明書本文、プライベートキー、または証明書チェーンが PEM 形式ではない場合は、ファイルを変換する必要があります。証明書ファイルに適切な証明書本文が含まれていない場合にも、ファイルを変換する必要があります。証明書または証明書チェーンを DER 形式から PEM 形式に変換するには、「トラブルシューティング」を参照してください。

「プライベートキーがサポートされていません。」

AWS コマンドラインインターフェイス (AWS CLI) を使って証明書を ACM にインポートする場合は、証明書ファイルの内容 (証明書本文、プライベートキー、および証明書チェーン) を文字列として渡します。証明書、証明書チェーン、およびプライベートキーは、それらのファイル名の前に file:// を付けて指定する必要があります。詳細については、「import-certificate」を参照してください。

注意: キーにはファイルパス file://key.pem、証明書にはファイルパス file://certificate.pem を使用するようにしてください。ファイルパスを含めなければ、「プライベートキーがサポートされていません」または「証明書が有効ではありません」というエラーメッセージを受け取る場合があります。