ACM-PCA の有効期間が 13 か月未満の場合、ACM コンソールを使用してプライベート証明書をリクエストするにはどうすればよいですか ?

最終更新日: 2019 年 10 月 31 日

AWS Certificate Manager (ACM) のプライベート証明書をリクエストしたところ、「Failed」エラーが発生、もしくは証明書のステータスが「Failed」になりました。解決方法を教えてください。

簡単な説明

ACM 証明書は 13 か月間有効です。指定した有効期間が CA の有効期間を超えていると、ACM プライベート CA はプライベート証明書を発行できません。

解決方法

有効期限が 13 か月を超える ACM プライベート CA から、新しいプライベート証明書を発行します。次に、そのプライベート証明書の本文とチェーンを取得し、ACM にインポートします。

重要: 始める前に、AWS CLI のインストール設定をしておく必要があります。

1.    次のように issue-certificate コマンドを使用して、有効期限が 13 か月を超える CA からプライベート証明書を発行します。

aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:us-west-2:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012 --csr file://C:\cert_1.csr --signing-algorithm "SHA256WITHRSA" --validity Value=365,Type="DAYS" --idempotency-token 1234

ルート CA の有効期間が 1 年以上である必要があるため、この例では 365 日が指定されています。実際には、ご使用のルート CA と同じ有効期間を使用します。

2.    次のように get-certificate コマンドを使用して、プライベート証明書の本文とチェーンを取得します。

aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012/\
certificate/6707447683a9b7f4055627ffd55cebcc \
--output text

get-certificate コマンドは、base64 でエンコードされた PEM 形式の証明書と次に示すような証明書チェーンを出力します。

-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----
-----BEGIN CERTIFICATE-----
...base64-encoded certificate...
-----END CERTIFICATE----

次のコマンドを使用して、証明書本文と証明書チェーンを .pem ファイルとして保存します。

証明書チェーン:

aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query CertificateChain > certchain.pem

証明書本文:

aws acm-pca get-certificate --certificate-authority-arn  arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012 --certificate-arn arn:aws:acm-pca:Region:Account:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/66506378eb4e296c59b41bbb7b8dd068 --output text --query Certificate > certfile.pem

3.    その後、「AWS Certificate Manager への証明書のインポート」の手順に従い、次に示すように import-certificate コマンドを使用します。

注: certfile.pemcertchain.pemPrivateKey.pem の部分を、それぞれのファイル名に置き換えます。

aws acm import-certificate --certificate file://certfile.pem --certificate-chain file://certchain.pem --private-key file://PrivateKey.pem

この記事はお役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合