サードパーティが発行したTLS/SSL証明書を AWS Certificate Manager (ACM) にインポートしたい。
解決方法
サードパーティが発行した TLS/SSL 証明書を ACM にインポートするには、証明書、その秘密鍵、および証明書チェーンを提供する必要があります。証明書には、証明書のインポートに必要な前提条件も含まれている必要があります。
次のファイルを以下のような PEM 形式でインポートする必要があります。
PEM 形式の証明書:
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
PEM 形式の証明書チェーン: (この例では、2 つのサブ CA / 中間 CA が存在するチェーンを示しています。ここで指定された順序は、ルート CA を最後のエントリとして保持するためのものです)。
-----BEGIN CERTIFICATE-----
Base64–encoded certificate of SubordinateCA2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate of SubordinateCA1
----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate of Root CA
-----END CERTIFICATE-----
PEM 形式のプライベートキー:
-----BEGIN RSA PRIVATE KEY-----
Base64–encoded private key
-----END RSA PRIVATE KEY-----
詳細や例については、「インポートのための証明書とキー形式」を参照してください。
PKCS#12 (PFX) 形式の証明書バンドルを OpenSSL を使用して PEM 形式に変換する
-
PFX または P12 ファイルを OpenSSL ツールと同じ場所にコピーするか、コマンドラインで場所を指定します。
-
次の OpenSSL コマンドを入力し、PKCS12file を証明書ファイルに置き換えます。
$openssl pkcs12 -in PKCS12file -out Cert_Chain_Key.txt
以下のようなプロンプトが表示されます。
Enter Import Password:(this is the password that was used when the PKCS12 file was created)
Enter PEM pass phrase:(this is the private key password)
Verifying - Enter PEM pass phrase: (confirm the private key password)
- 必要なパスワードとパスフレーズを入力します。証明書、プライベートキー、および証明書チェーン (ルートまたは中間) が解析され、Cert_Chain_Key.txt ファイルに配置されます。
**注:**プライベートキーは次の形式でまだ暗号化されています。
-----BEGIN ENCRYPTED PRIVATE KEY-----
Base64–encoded private key
-----END ENCRYPTED PRIVATE KEY-----
プライベートキーを復号化する
-
Cert_Chain_Key.txt ファイルからプライベートキーを OpenSSL ディレクトリにコピーするか、コマンドラインで場所を指定します。
-
次の OpenSSL コマンドを入力し、Encrypted.key を暗号化されたプライベートキーファイルに置き換えます。
$openssl rsa -in Encrypted.key -out UnEncrypted.key
- パスフレーズを入力します。UnEncrypted.key は復号化されたプライベートキーです。これを確認するために、テキストエディタで UnEncrypted.key ファイルを開き、次のようなヘッダーを表示します。
-----BEGIN RSA PRIVATE KEY-----
Base64–encoded private key
-----END RSA PRIVATE KEY-----
これで証明書を ACM に正常にインポートできます。手順については、「証明書のインポート」を参照してください。
関連情報
サードパーティーのパブリック SSL/TLS 証明書を AWS Certificate Manager (ACM) にインポートできないのはなぜですか?
OpenSSL を使用して PFX 形式の証明書を AWS Certificate Manager にインポートする方法