翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS CloudHSM キーを証明書に関連付ける
Microsoft の [SignTool](https://docs.microsoft.com/en-us/windows/win32/seccrypto/signtool) などのサードパーティーツールで AWS CloudHSM キーを使用する前に、キーのメタデータをローカル証明書ストアにインポートし、メタデータを証明書に関連付ける必要があります。キーのメタデータをインポートするには、CloudHSM バージョン 3.0 以降に含まれている import\$1key.exe ユーティリティを使用します。次の手順では、追加情報とサンプル出力を示します。
## ステップ 1: 証明書をインポートする
Windows では、証明書をダブルクリックするとローカルの証明書ストアにインポートできます。
ただし、ダブルクリックしてもインポートできない場合は、[Microsoft Certreq ツール](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn296456%28v%3dws.11%29)を使用して証明書マネージャーに証明書をインポートします。例えば:
```
certreq -accept
```
この操作が失敗し、エラー `Key not found` が表示された場合は、手順 2 に進みます。証明書がキーストアに表示される場合は、タスクは完了しているため、これ以上の操作は必要ありません。
## ステップ 2: 証明書識別情報を収集する
前の手順が成功しなかった場合は、プライベートキーを証明書に関連付ける必要があります。ただし、関連付けを作成する前に、まず証明書の一意のコンテナ名とシリアル番号を検索する必要があります。**certutil** などのユーティリティを使用して、必要な証明書情報を表示します。**certutil** からの次の出力例は、コンテナ名とシリアル番号を示しています。
```
================ Certificate 1 ================ Serial Number:
72000000047f7f7a9d41851b4e000000000004Issuer: CN=Enterprise-CANotBefore: 10/8/2019 11:50
AM NotAfter: 11/8/2020 12:00 PMSubject: CN=www.example.com, OU=Certificate Management,
O=Information Technology, L=Seattle, S=Washington, C=USNon-root CertificateCert
Hash(sha1): 7f d8 5c 00 27 bf 37 74 3d 71 5b 54 4e c0 94 20 45 75 bc 65No key provider
information Simple container name: CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c Unique
container name: CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c
```
## ステップ 3: AWS CloudHSM プライベートキーを証明書に関連付ける
キーを証明書に関連付けるには、まず[AWS CloudHSM クライアントデーモンを起動](key_mgmt_util-setup.md#key_mgmt_util-start-cloudhsm-client)してください。次に、import\$1key.exe (CloudHSM バージョン 3.0 以降に含まれています) を使用して、プライベートキーを証明書に関連付けます。証明書を指定するときは、その単純なコンテナ名を使用します。次の例は、コマンドと応答を示しています。このアクションでは、キーのメタデータのみがコピーされます。キーは HSM に残ります。
```
$> import_key.exe –RSA CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c
Successfully opened Microsoft Software Key Storage Provider : 0NCryptOpenKey failed : 80090016
```
## ステップ 4: 証明書ストアを更新する
AWS CloudHSM クライアントデーモンがまだ実行されていることを確認します。次に、**certutil** 動詞の **-repairstore** を使用して、証明書のシリアル番号を更新します。次のサンプルは、コマンドと出力の例を示しています。[**-repairstore** 動詞](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc732443(v=ws.11)?redirectedfrom=MSDN#-repairstore)の詳細については、Microsoft のドキュメントを参照してください。
```
C:\Program Files\Amazon\CloudHSM>certutil -f -csp "Cavium Key Storage Provider"-repairstore my "72000000047f7f7a9d41851b4e000000000004"
my "Personal"
================ Certificate 1 ================
Serial Number: 72000000047f7f7a9d41851b4e000000000004
Issuer: CN=Enterprise-CA
NotBefore: 10/8/2019 11:50 AM
NotAfter: 11/8/2020 12:00 PM
Subject: CN=www.example.com, OU=Certificate Management, O=Information Technology, L=Seattle, S=Washington, C=US
Non-root CertificateCert Hash(sha1): 7f d8 5c 00 27 bf 37 74 3d 71 5b 54 4e c0 94 20 45 75 bc 65
SDK Version: 3.0
Key Container = CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c
Provider = "Cavium Key Storage Provider"
Private key is NOT exportableEncryption test passedCertUtil: -repairstore command completed successfully.
```
証明書のシリアル番号を更新したら、この証明書と対応する AWS CloudHSM プライベートキーを Windows の任意のサードパーティー署名ツールで使用できます。