AWS Private Certificate Authority (AWS Private CA) 証明書の最大有効期間を計算したいと考えています。
解決方法
ACM Private CA は、有効フィールドの「Not Before」(これ以前は無効) の日付を、日付と時刻から 60 分を引いた値に設定します。これにより、60 分以下のシステム間での時間の不整合が補われます。
最大有効期間は、「NotAfter」日付のエポックタイム形式を取得することで計算できます。次に、end-entity 証明書を発行してから CA の有効期限までの日数を計算します。
注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください。
1. 以下のような AWS CLI コマンド describe-certificate-authority を実行します。
aws acm-pca describe-certificate-authority --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012
出力例:
{
"CertificateAuthority": {
"Arn": "arn:aws:acm-pca:region:account:certificate-authority/12345678-1234-1234-1234-123456789012",
"OwnerAccount": "123456789012",
"CreatedAt": "2019-10-22T19:26:52.721000+00:00",
"LastStateChangeAt": "2019-10-22T19:29:32.333000+00:00",
"Type": "SUBORDINATE",
"Serial": "4096",
"Status": "ACTIVE",
"NotBefore": "2019-10-22T18:29:30+00:00",
"NotAfter": "2029-10-22T19:29:30+00:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "AU",
"Organization": "MINDEF/SAF",
"OrganizationalUnit": "AU",
"State": "Australia",
"CommonName": "example.com.au",
"Locality": "Australia"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"S3BucketName": "crl-123456789012-region",
"S3ObjectAcl": "PUBLIC_READ"
},
"OcspConfiguration": {
"Enabled": false
}
},
"KeyStorageSecurityStandard": "FIPS_140_2_LEVEL_3_OR_HIGHER"
}
}
2. end-entity 証明書を発行してから CA の有効期限までの日数を計算します。日時計算ツールは、時刻と日付の ASウェブサイトで利用できます。この例では、end-entity 証明書の日付は 2019 年 10 月 22 日火曜日で、CA の有効期限は 2029 年 10 月 22 日月曜日です。
その結果、3252 日になります。CA で**--validity** に設定できる最大日数は 3251 日です。
注: 3252 日以上の値を使用すると、AWS CLI コマンド出力から次のような「ValidationException」エラーが返されます。
An error occurred (ValidationException) when calling the IssueCertificate operation: The certificate validity specified exceeds the certificate authority validity.
詳細については、「プライベート CA ライフサイクルの管理」を参照してください。
関連情報
ACM-PCA の有効期間が 13 か月未満の場合、ACM コンソールを使用してプライベート認証をリクエストするにはどうすればよいですか?