翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# でのプライベート証明書の更新 AWS Certificate Manager
<a name="renew-private-cert"></a>

からプライベート CA によって署名された ACM 証明書 AWS Private CA は、マネージド更新の対象となります。パブリックに信頼できる ACM 証明書とは異なり、プライベート PKI の証明書には検証は必要ありません。信頼は、管理者が適切なルート CA 証明書をクライアントの信頼ストアにインストールしたときに確立されます。

**注記**  
マネージド更新の対象になるのは、ACM コンソールまたは ACM API の [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API-RequestCertificate.html) アクションを使用して取得した証明書のみです。 AWS Private CA API の [IssueCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_IssueCertificate.html) アクション AWS Private CA を使用して から直接発行された証明書は、ACM によって管理されません。

マネージド証明書の有効期限切れの 60 日前になると、ACM によって、自動的に更新が試みられます。これには、手動でエクスポートおよびインストールされた証明書 (例えば、オンプレミスのデータセンターで) が含まれます。また、ユーザーは ACM API の [RenewCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html) アクションを使用して、いつでも更新を強制できます。強制された更新の Java 実装のサンプルについては、[証明書の更新](sdk-renew.md) を参照してください。

更新後、証明書のサービスへのデプロイは、次のいずれかの方法で実行されます。
+ 証明書が、ACM[ 統合サービス](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)に関連付けられて**いる**場合、追加のユーザーのアクションなしに、新しい証明書が古い証明書を置き換えます。
+ 証明書が、ACM[ 統合サービス](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)に関連付けられて**いない**場合、更新された証明書をエクスポートしてインストールするには、ユーザーのアクションが必要です。これらのアクションは、手動で実行するか、以下のように 、[AWS Health](https://docs.aws.amazon.com/health/latest/ug/)、[Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/)、および [AWS Lambda](https://docs.aws.amazon.com//lambda/latest/dg/getting-started.html) からの支援を得て実行することができます。詳しくは、[更新された証明書のエクスポートの自動化](#automating-export) を参照してください。

## 更新された証明書のエクスポートの自動化
<a name="automating-export"></a>

次の手順は、ACM が更新されたときにプライベート PKI 証明書のエクスポートを自動化するためのソリューションの例を示します。この例では、ACM から証明書とそのプライベートキーのみをエクスポートします。エクスポート後は、証明書をターゲットデバイスにインストールする必要があります。

**コンソールを使用して証明書のエクスポートを自動化するには**

1.  AWS Lambda デベロッパーガイドの手順に従って、ACM エクスポート API を呼び出す Lambda 関数を作成して設定します。

   1. [Lambda 関数の作成](https://docs.aws.amazon.com/lambda/latest/dg/getting-started-create-function.html)。

   1. 関数の [Lambda 実行ロールを作成](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html)し、次の信頼ポリシーを追加します。このポリシーは、ACM APIの [ExportCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_ExportCertificate.html) アクションを呼び出すことにより、更新された証明書とプライベート鍵を取得するための関数内のコードに許可を付与します。

------
#### [ JSON ]

****  

      ```
      {
         "Version":"2012-10-17",		 	 	 
         "Statement":[
            {
               "Effect":"Allow",
               "Action":"acm:ExportCertificate",
               "Resource":"*"
            }
         ]
      }
      ```

------

1.  

   [Amazon EventBridge でルールを作成](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)し、ACM ヘルスイベントをリッスンし、検出した場合は Lambda 関数を呼び出します。ACM は、証明書の更新を試みるたびに AWS Health イベントに書き込みます。これらの通知の詳細については、[Personal Health Dashboard (PHD) を使用してステータスを確認する](check-certificate-renewal-status.md#check-renewal-status-phd) を参照してください。

   次のイベントパターンを追加して、ルールを設定します。

   ```
   {
      "source":[
         "aws.health"
      ],
      "detail-type":[
         "AWS Health Event"
      ],
      "detail":{
         "service":[
            "ACM"
         ],
         "eventTypeCategory":[
            "scheduledChange"
         ],
         "eventTypeCode":[
            "AWS_ACM_RENEWAL_STATE_CHANGE"
         ]
      },
      "resources":[
         "arn:aws:acm:region:account:certificate/certificate_ID"
      ]
   }
   ```

1. ターゲットシステムに証明書を手動でインストールして、更新プロセスを完了します。

## プライベート PKI 証明書のマネージド更新のテスト
<a name="manual-renewal"></a>

ACM API または を使用して AWS CLI 、ACM マネージド更新ワークフローの設定を手動でテストできます。そうすることで、有効期限切れの前に ACM によって証明書が自動的に更新されることを確認できます。

**注記**  
 AWS Private CAによって発行され、エクスポートされた証明書の更新のみをテストできます。

以下で説明する API アクションまたは CLI コマンドを使用すると、ACM は証明書の更新を試みます。更新が成功すると、ACM はマネジメントコンソールまたは API 出力に表示される証明書のメタデータを更新します。証明書が ACM [統合サービス](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)に関連付けられている場合、新しい証明書がデプロイされ、Amazon CloudWatch Events で更新イベントが生成されます。更新に失敗すると、ACM はエラーを返し、修復アクションを提案します。(この情報は、[記述証明書](https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html)コマンドを使用して閲覧できます。) 証明書が統合サービスを通じてデプロイされていない場合、証明書をエクスポートし、リソースに手動でインストールする必要があります。

**重要**  
ACM で AWS Private CA 証明書を更新するには、まず ACM サービスプリンシパルにそのアクセス許可を付与する必要があります。詳細については、「[ACM への証明書更新アクセス権限の割り当て](https://docs.aws.amazon.com/privateca/latest/userguide/assign-permissions.html#PcaPermissions)」を参照してください。

**証明書の更新を手動でテストするには (AWS CLI)**

1. [renew-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/renew-certificate.html) コマンドを使用して、プライベートにエクスポートされた証明書を更新します。

   ```
   aws acm renew-certificate \
   	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
   ```

1. 次に、[describe-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/describe-certificate.html) コマンドを使用して、証明書の更新詳細が更新されたことを確認します。

   ```
   aws acm describe-certificate \
   	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
   ```

**証明書の更新を手動でテストするには (ACM API)**
+ [RenewCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html) リクエストを送信し、更新するプライベート証明書の ARN を指定します。次に、[DescribeCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_DescribeCertificate.html) オペレーションを使用して、証明書の更新詳細が更新されたことを確認します。