スキップしてコンテンツを表示
AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post
re:Postに関して

プライベート CA が新しい証明書を発行する際に発生したエラーを解決する方法を教えてください。

所要時間2分
0

AWS プライベート認証機関用の新しいプライベートエンドエンティティ証明書または下位認証局 (CA) をリクエストしようとしたところ、リクエストが失敗しました。

簡単な説明

プライベート CA 証明書のリクエストが失敗した場合のトラブルシューティングを行うには、次の変数を確認します。

  • プライベート CA の pathLenConstraint パラメータ
  • プライベート CA のステータス
  • プライベート CA の署名アルゴリズムファミリー
  • リクエストされた証明書の有効期間
  • AWS Identity and Access Management (IAM) アクセス許可
  • AWS アカウント
  • AWS プライベート CA の例外エラーメッセージ

解決策

プライベート CA の pathLenConstraint パラメータ

下位 CA のパス長が発行側プライベート CA のパス長よりも大きい場合、次のエラーメッセージが表示されます。

"CA のパス長チェックが不適合です"

この問題を解決するには、下位 CA の pathLenConstraint をプライベート CA のパス長よりも短くして作成します。詳細については、「CA 階層の構造を計画する」を参照してください。

プライベート CA のステータス

IssueCertificate API を使用して作成した新しいプライベート CA 証明書が期限切れまたは削除済みのプライベート CA である場合、次のエラーが発生します。

"IssueCertificate 操作の呼び出し時にエラーが発生しました (InvalidStateException)。 認証機関が、証明書の発行に有効な状態ではありません。"

署名 CA が削除された場合も、7 ~ 30 日の復元期間内であれば、プライベート CA を復元できます。復元期間が過ぎると、プライベート CA は完全に削除され、復元できなくなります。

署名側の CA が期限切れである場合は、新しい有効期限を持つ CA を再発行するか、期限切れの CA を交換します。期限切れの CA は、新しい CA に置き換えることがベストプラクティスです。期限切れの CA を置き換えるには、新しい CA を作成し、同じ親 CA にチェーンします。詳細については、「CA の継承を管理する」を参照してください。

プライベート CA の署名アルゴリズムファミリー

RSA または ECDSA の署名側アルゴリズムファミリーは、CA の秘密鍵のアルゴリズムファミリーと一致する必要があります。詳細については、「AWS プライベート CA でサポートされる暗号化アルゴリズム」を参照してください。

リクエストされた証明書の有効期間

AWS Certificate Manager (ACM) が発行、管理するプライベートエンドエンティティ証明書は、13 か月 (395 日間) 有効です。親 CA の有効期間が 13 か月未満になると、ACM コンソールから発行されたプライベートエンドエンティティ証明書リクエストは失敗し、次のエラーメッセージが表示されます。

"リクエストで指定した CA の署名証明書が期限切れです。"

注: ACM は、短期モードのプライベート CA によって署名された証明書を発行できません。

署名証明書の有効期間が 13 か月未満の場合は、IssueCertificate API を使用してカスタムの有効期間を指定します。

AWS Private CA が親 CA よりも有効期間の長い証明書を発行しようとすると、次のエラーメッセージが表示されます。

"IssueCertificate 操作の呼び出し時にエラーが発生しました (ValidationException): 指定された証明書の有効期間は、認証局の有効期間を超えています。"

この問題を解決するには、エンドエンティティ証明書または子 CA 証明書の有効期間を、親 CA の有効期間以内にします。

詳細については、「AWS プライベート CA のプライベート CA を更新する」を参照してください。

IAM アクセス許可

IssueCertificate および RequestCertificate API コールを行うには、必要なアクセス許可をプライベート CA 証明書をリクエストする IAM ID に付与します。上記以外の場合、AccessDenied エラーが発生し、リクエストを行うことはできません。最小特権のアクセス許可を適用することがベストプラクティスです。詳細については、「AWS プライベート CA 用の IAM」を参照してください。

AWS アカウント

AWS プライベート CA が別のアカウントから CA 証明書を発行しようとすると、次のようなエラーメッセージが表示されます。

"IssueCertificate の呼び出し時にエラーが発生しました (AccessDeniedException)。アクション acm-pca:IssueCertificate を許可するリソースベースのポリシーがありません"

リソースベースのポリシーを CA 証明書にアタッチすることで、この問題を解決できます。AWS Resource Access Manager (AWS RAM) を使用して ACM プライベート CA を別のアカウントと共有することでも、解決できます。詳細については、「ACM プライベート CA を別の AWS アカウントと共有する方法を教えてください」を参照してください。

AWS プライベート CA での例外エラーメッセージ

いくつかの理由により、AWS Private CA が例外エラーを返す場合があります。AWS Private CA での例外エラーのトラブルシューティング方法については、「AWS Private CA での例外メッセージのトラブルシューティング」を参照してください。

関連情報

AWS プライベート CA 用の CRL を作成する方法を教えてください

AWS Private CA のルート CA と下位 CA を複数のアカウントまたは AWS リージョンにインストールする方法を教えてください

トピック
Security, Identity, & Compliance
タグ
AWS Private Certificate Authority
言語
日本語
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ