Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
AWS プライベート認証局でディザスタリカバリを設定する方法を教えてください。
ディザスタリカバリ用の AWS プライベート認証局を設定する方法を知りたいです。
解決策
AWS プライベート CA は複数の AWS リージョンで利用できるため、複数のリージョンで冗長性のある下位 CA を作成します。次に、下位 CA を単一リージョン内の同じルート CA にチェーン接続します。
次の手順を実行します。
-
ルート CA リージョン (root_CA_region) 以外の AWS リージョン (sub_CA_2_region) で、下位 CA を作成します (sub_CA_2)。
-
次のコマンドを実行して、sub_CA_2_ リージョンの sub_CA_2 を取得します。
aws acm-pca get-certificate-authority-csr --certificate-authority-arn sub_CA_2_ARN --region sub_CA_2_region -
次のコマンドを実行して、root_CA_region 内のルート CAから sub_CA_2 証明書を発行します。
aws acm-pca issue-certificate --certificate-authority-arn root_CA_ARN --csr fileb://<CSRfile> --signing-algorithm SHA256WITHRSA --template-arn arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen1/V1 --validity Value=5,Type="YEARS" --region root_CA_region -
次のコマンドを実行して、sub_CA_2 の証明書および証明書チェーンを取得します。
aws acm-pca get-certificate --certificate-authority-arn root_CA_ARN --certificate-arn certificate-arn-from-the-previous-step --region root_CA_region --output json > cert.json -
次のコマンドを実行して、証明書と証明書チェーンを 2 つのファイルに分けます。
cert.pem for the subordinate CA certificate cert_chain.pem for the root CA certificate chain detailscat cert.json | jq -r .Certificate > cert.pem cat cert.json | jq -r .CertificateChain > cert_chain.pem -
次のコマンドを実行して、sub_CA_2 に対する署名済み証明書を sub_CA_2_region にインポートします。
aws acm-pca import-certificate-authority-certificate --certificate-authority-arn sub_CA_2_ARN --certificate fileb://cert.pem --certificate-chain fileb://cert_chain.pem --region sub_CA_2_region
これで、2 番目のリージョンで下位 CA の設定が完了し、ディザスタリカバリ用のプライベート証明書の発行に使用できるようになりました。
詳細については、「冗長性とディザスタリカバリ」を参照してください。
関連情報
- 言語
- 日本語
