サードパーティが発行した TLS/SSL 証明書を ACM にインポートするにはどうすればよいですか。

最終更新日: 2022 年 6 月 24 日

サードパーティが発行したTLS/SSL証明書を AWS Certificate Manager (ACM) にインポートしたい。

解像度

サードパーティが発行した TLS/SSL 証明書を ACM にインポートするには、証明書、その秘密鍵、および証明書チェーンを提供する必要があります。証明書には、証明書をインポートするための前提条件も含まれている必要があります。

次のような PEM エンコード形式でインポートするには、次のファイルが必要です。

PEM でエンコードされた証明書:

-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----

PEM エンコードされた証明書チェーン: (この例は、2 つの従属/中間 CA が存在するチェーンを示しています。ここでの順序は、ルート CA を最後のエントリとして保持することです)

-----BEGIN CERTIFICATE-----
Base64–encoded certificate of SubordinateCA2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate of SubordinateCA1
----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate of Root CA
-----END CERTIFICATE-----

PEM でエンコードされたプライベートキー:

-----BEGIN RSA PRIVATE KEY-----
Base64–encoded private key
-----END RSA PRIVATE KEY-----

詳細と例については、「インポート用の証明書とキーの形式」を参照してください。

OpenSSL を使用して、証明書バンドルを PKCS #12 (PFX) から PEM に変換します

1.    PFX または P12 ファイルを OpenSSL ツールと同じ場所にコピーするか、コマンドラインで場所を指定します。

2.    次の OpenSSL コマンドを入力し、 PKCS12File を証明書ファイルに置き換えます。

$openssl pkcs12 -in PKCS12file -out Cert_Chain_Key.txt

次のようなプロンプトが表示されます。

Enter Import Password:(this is the password that was used when the PKCS12 file was created)

Enter PEM pass phrase:(this is the private key password)

Verifying - Enter PEM pass phrase: (confirm the private key password)

3.    必要なパスワードとパスフレーズを入力します。証明書、プライベートキー、および証明書チェーン (ルートまたは中間) が解析され、 Cert_Chain_Key.txt ファイルに配置されます。

注:プライベートキーは、次の形式で暗号化されます。

-----BEGIN ENCRYPTED PRIVATE KEY-----
Base64–encoded private key
-----END ENCRYPTED PRIVATE KEY-----

プライベートキーを復号化する

1.    プライベートキーを Cert_Chain_Key.txt ファイルから OpenSSL ディレクトリにコピーするか、コマンドラインで場所を指定します。

2.    次の OpenSSL コマンドを入力し、 Encrypted.key を暗号化されたプライベートキーファイルに置き換えます。

$openssl rsa -in Encrypted.key -out UnEncrypted.key

3.    パスフレーズを入力します。UnEncrypted.key は、復号化されたプライベートキーになりました。これを確認するには、テキストエディタを使用して UnEncrypted.key ファイルを開き、次の形式のようなヘッダーを表示します。

-----BEGIN RSA PRIVATE KEY-----
Base64–encoded private key
-----END RSA PRIVATE KEY-----

これで、証明書を ACM に正常にインポートできます。手順については、「証明書のインポート」を参照してください。