AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

新しいプライベート証明書をリクエストするときに使用できる AWS プライベート CA の最大有効期間はどれくらいですか?

所要時間1分
0

AWS Private Certificate Authority (AWS Private CA) 証明書の最大有効期間を計算したいと考えています。

解決方法

ACM Private CA は、有効フィールドの「Not Before」(これ以前は無効) の日付を、日付と時刻から 60 分を引いた値に設定します。これにより、60 分以下のシステム間での時間の不整合が補われます。

最大有効期間は、「NotAfter」日付のエポックタイム形式を取得することで計算できます。次に、end-entity 証明書を発行してから CA の有効期限までの日数を計算します。

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください

1.    以下のような AWS CLI コマンド describe-certificate-authority を実行します。

aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012

出力例:

{
  "CertificateAuthority": {
    "Arn": "arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012",
    "OwnerAccount": "123456789012",
    "CreatedAt": "2019-10-22T19:26:52.721000+00:00",
    "LastStateChangeAt": "2019-10-22T19:29:32.333000+00:00",
    "Type": "SUBORDINATE",
    "Serial": "4096",
    "Status": "ACTIVE",
    "NotBefore": "2019-10-22T18:29:30+00:00",
    "NotAfter": "2029-10-22T19:29:30+00:00",
    "CertificateAuthorityConfiguration": {
      "KeyAlgorithm": "RSA_2048",
      "SigningAlgorithm": "SHA256WITHRSA",
      "Subject": {
        "Country": "AU",
        "Organization": "MINDEF/SAF",
        "OrganizationalUnit": "AU",
        "State": "Australia",
        "CommonName": "example.com.au",
        "Locality": "Australia"
      }
    },
    "RevocationConfiguration": {
      "CrlConfiguration": {
        "Enabled": true,
        "ExpirationInDays": 7,
        "S3BucketName": "crl-123456789012-region",
        "S3ObjectAcl": "PUBLIC_READ"
      },
      "OcspConfiguration": {
        "Enabled": false
      }
    },
    "KeyStorageSecurityStandard": "FIPS_140_2_LEVEL_3_OR_HIGHER"
  }
}

2.    end-entity 証明書を発行してから CA の有効期限までの日数を計算します。日時計算ツールは、時刻と日付の ASウェブサイトで利用できます。この例では、end-entity 証明書の日付は 2019 年 10 月 22 日火曜日で、CA の有効期限は 2029 年 10 月 22 日月曜日です。

その結果、3252 日になります。CA で**--validity** に設定できる最大日数は 3251 日です。

注: 3252 日以上の値を使用すると、AWS CLI コマンド出力から次のような「ValidationException」エラーが返されます。

An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity.

詳細については、「プライベート CA ライフサイクルの管理」を参照してください。

関連情報

ACM-PCA の有効期間が 13 か月未満の場合、ACM コンソールを使用してプライベート認証をリクエストするにはどうすればよいですか?

トピック
セキュリティ、アイデンティティ、コンプライアンス
タグ
AWS Certificate Manager
言語
日本語
AWS公式
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ