新しい ACM-PCA 証明書を発行するときのエラーを解決するにはどうすればよいですか?

簡単な説明

失敗したプライベート証明書リクエストをトラブルシューティングするには、次を確認してください。

• 発行元の証明機関の pathLenConstraint パラメータ。
• 発行元の証明機関のステータス。
• 発行元の認証機関の署名アルゴリズムファミリー。
• リクエストされた証明書の有効期間。
• AWS Identity and Access Management (IAM) 許可。

解決方法

発行元の認証機関の「pathLenConstraint」パラメータ

発行元の CA 証明書のパス長以上のパス長で CA を作成すると、ValidationException エラーが返されます。ACM 下位 CA を発行するための pathLenConstraint が、発行元 CA のパス長よりも短いことを確認してください。

発行元の認証機関のステータス

失効した CA (ステータスがアクティブでない) で IssueCertificate API を使用して新しい PCA 証明書を発行すると、InvalidStateException エラーコードが返されます。

署名 CA が失効している場合は、新しい下位 CA 証明書または ACM プライベート証明書を発行する前に、まずそれを更新してください。

発行元の認証機関の署名アルゴリズムファミリー

AWS マネジメントコンソールはプライベート ECDSA 証明書の発行をサポートしていないため、発行元の CA は使用できません。これは、ECDSA プライベート下位認証機関が既に作成されている場合でも発生します。IssueCertificate API コールで、--signing-algorithm フラグを使用して ECDSA バリアントを指定できます。

リクエストされた証明書の有効期間

ACM によって発行および管理される証明書 (ACM がプライベートキーを生成する証明書) の有効期間は 13 か月間 (395 日間) です。

ACM プライベート CA では、IssueCertificate API を使用して任意の有効期間を適用できます。ただし、発行元の認証機関よりも長い証明書の有効期間を指定すると、証明書の発行は失敗します。

CA 証明書の有効期間は、子証明書またはエンドエンティティ証明書の 2～5 倍の値に設定するのがベストプラクティスです。詳細については、「Choosing validity periods」(有効期間の選択) を参照してください。

IAM 許可

IAM アイデンティティで発行されたプライベート証明書には、必須の許可が必要です。これがない場合、リクエストは「AccessDenied」エラーで失敗します。最小特権の付与の原則に従いながら、プライベート証明書を発行するための許可を IAM アイデンティティに付与するのがベストプラクティスです。

詳細については、「Identity and Access Management for AWS Certificate Manager Private Certificate Authority」(AWS Certificate Manager プライベート認証機関のアイデンティティとアクセス管理) を参照してください。

---