翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# とは AWS Private CA
<a name="PcaWelcome"></a>

AWS Private CA では、オンプレミス CA を運用するための投資とメンテナンスのコストをかけずに、ルート CA と下位 CAs を含むプライベート認証機関 (CA) 階層を作成できます。プライベート CA は、次のようなシナリオでエンドエンティティ X.509 証明書を発行できます。
+ 暗号化された TLS 通信チャネルの作成 
+ ユーザー、コンピュータ、API エンドポイント、および IoT デバイスの認証
+ 暗号署名コード
+ 証明書失効ステータスを取得するためのオンライン証明書ステータスプロトコル (OCSP) の実装

AWS Private CA オペレーションには、 から AWS マネジメントコンソール、 AWS Private CA API を使用して、または を使用してアクセスできます AWS CLI。

**Topics**
+ [のリージョンの可用性 AWS Private Certificate Authority](#PcaRegions)
+ [と統合されたサービス AWS Private Certificate Authority](#PcaIntegratedServices)
+ [でサポートされている暗号化アルゴリズム AWS Private Certificate Authority](#supported-algorithms)
+ [での RFC 5280 コンプライアンス AWS Private Certificate Authority](#RFC-compliance)
+ [の料金 AWS Private Certificate Authority](#PcaPricing)
+ [の用語と概念 AWS Private CA](PcaTerms.md)

## のリージョンの可用性 AWS Private Certificate Authority
<a name="PcaRegions"></a>

 

ほとんどの AWS リソースと同様に、プライベート認証機関 (CAs) はリージョンリソースです。複数のリージョンでプライベート CA を使用するには、それらのリージョンで CA を作成する必要があります。リージョン間でプライベート CA をコピーすることはできません。「AWS 全般のリファレンス」の「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html#pca_region)」、または「[AWS リージョン表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」で「 AWS Private CAを利用できるリージョン」を参照してください。

**注記**  
ACM は現在、そう AWS Private CA でない一部のリージョンで利用できます。

## と統合されたサービス AWS Private Certificate Authority
<a name="PcaIntegratedServices"></a>

 AWS Certificate Manager を使用してプライベート証明書をリクエストする場合、その証明書を ACM と統合された任意のサービスに関連付けることができます。これは、 AWS Private CA ルートに連鎖された証明書と外部ルートに連鎖された証明書の両方に適用されます。詳細については、「 AWS Certificate Manager ユーザーガイド」の[「統合サービス](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)」を参照してください。

プライベート CA を Amazon Elastic Kubernetes Service に統合して、Kubernetes クラスター内で証明書を発行することもできます。詳細については、「[で Kubernetes を保護する AWS Private Certificate Authority](PcaKubernetes.md)」を参照してください。

**注記**  
Amazon Elastic Kubernetes Service は ACM 統合サービスではありません。

 AWS Private CA API または を使用して証明書 AWS CLI を発行したり、ACM からプライベート証明書をエクスポートしたりする場合は、任意の場所に証明書をインストールできます。

## でサポートされている暗号化アルゴリズム AWS Private Certificate Authority
<a name="supported-algorithms"></a>

AWS Private CA は、プライベートキーの生成と証明書署名のために次の暗号化アルゴリズムをサポートしています。


**サポートされているアルゴリズム**  

| プライベートキーアルゴリズム | 署名アルゴリズム | 
| --- | --- | 
| ML\_DSA\_44<br />ML\_DSA\_65<br />ML\_DSA\_87<br />RSA\_2048 <br />RSA\_3072 <br />RSA\_4096<br />EC\_prime256v1<br />EC\_secp384r1<br />EC\_secp521r1<br />SM2 (中国リージョンのみ) | ML\_DSA\_44<br />ML\_DSA\_65<br />ML\_DSA\_87<br />SHA256WITHRSASHA384WITHRSA<br />SHA512WITHRSA<br />SHA256WITHECDSA<br />SHA384WITHECDSA<br />SHA512WITHECDSA<br />SM3WITHSM2 | 

このリストは、 コンソール、API、またはコマンドライン AWS Private CA を介して によって直接発行された証明書にのみ適用されます。から CA を使用して証明書 AWS Certificate Manager を発行する場合 AWS Private CA、これらのアルゴリズムの一部はサポートされますが、すべてはサポートされません。詳細については、 AWS Certificate Manager ユーザーガイド[の「プライベート証明書のリクエスト](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html)」を参照してください。

**注記**  
RSA または ECDSA の場合、指定された署名アルゴリズムファミリーは CA のプライベートキーのキーアルゴリズムファミリーと一致する必要があります。  
ML-DSA の場合、ハッシュ関数はアルゴリズム自体の一部として定義されます。ML-DSA で別のハッシュ関数を選択するオプションはありません。APIs との下位互換性を維持するために、キーアルゴリズムと署名アルゴリズムに同じ値が使用されます。

## での RFC 5280 コンプライアンス AWS Private Certificate Authority
<a name="RFC-compliance"></a>

AWS Private CA は、[RFC 5280 ](https://datatracker.ietf.org/doc/html/rfc5280)で定義されている特定の制約を適用しません。逆も同様で、プライベート CA に適切な追加の制約が強制されます。

**強制**
+ [日付を過ぎると強制されません](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.5)。[RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280) に準拠して、 AWS Private CA は、交付元 CA 認定の交付日よりも後の `Not After` `Not After` 日付を持つ証明書は発行しません。
+ [基本的な制約](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9)。インポートされた CA 証明書に基本的な制約とパスの長さ AWS Private CA を適用します。

  基本的な制約は、証明書によって識別されるリソースが CA であり、証明書を発行できるかどうかを示します。 AWS Private CA にインポートされる CA 認定には、基本的制約の拡張を含める必要があり、拡張に `critical` とマークする必要があります。`critical` フラグに加えて、 を設定`CA=true`する必要があります。 は、次の理由で検証例外で失敗することで基本的な制約 AWS Private CA を適用します。
  + 拡張が CA 認定に含まれていない。
  + 拡張が `critical` とマークされていない。

  パスの長さ ([pathLenConstraint](PcaTerms.md#terms-pathlength)) は、インポートCAs証明書のダウンストリームに存在する可能性のある下位 CA の数を決定します。 は、次の理由で検証例外で失敗することでパスの長さ AWS Private CA を適用します。
  + CA 認定をインポートすると、CA 認定またはチェーン内の任意の CA 認定のパスの長さ制約に違反する。
  + 証明書を発行すると、パスの長さの制約に違反する。
+ [名前制約](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.10)は、証明書パスの後続の証明書のすべてのサブジェクト名を配置する必要がある名前空間を示します。サブジェクト識別名とサブジェクト代替名には制限が適用されます。

**強制されない**
+ [証明書ポリシー](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.4)。証明書ポリシーは、CA が証明書を発行する条件を規制します。
+ [anyPolicy を禁止](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.14)します。CAs。
+ [発行者の代替名](https://datatracker.ietf.org/doc/html/rfc5280#section-section-4.2.1.7)。追加の ID を CA 証明書の発行者に関連付けることができます。
+ [ポリシーの制約](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.11)。これらの制約により、CA の下位 CA 認定を交付する機能が制限されます。
+ [ポリシーマッピング](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.5)。CA 証明書で使用されます。OIDs。各ペアには issuerDomainPolicy と subjectDomainPolicy が含まれます。
+ [サブジェクトディレクトリ属性](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.8)。サブジェクトの識別属性を伝えるために使用されます。
+ [サブジェクト情報へのアクセス](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.2.2)。拡張機能が表示される証明書のサブジェクトの情報とサービスにアクセスする方法。
+ [サブジェクトキー識別子 (SKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.2) と [権限キー識別子 (AKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.1)。RFC では、SKI 拡張を含む CA 認定が必要です。CA によって発行された証明書には、CA 証明書の SKI に一致する AKI 拡張機能が含まれている必要があります。これらの要件 AWS は適用されません。CA 認定に SKI が含まれていない場合、発行されたエンドエンティティまたは下位 CA 認定 AKI は、発行者パブリックキーの SHA-1 ハッシュになります。
+ [サブジェクトパブリックキー情報](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1)および[サブジェクト別名 (SAN)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.6)。証明書を発行する場合、 AWS Private CA は検証を実行せずに、提供された CSR から SubjectPublicKeyInfo および SAN 拡張をコピーします。

## の料金 AWS Private Certificate Authority
<a name="PcaPricing"></a>

アカウントを作成した時点で、各プライベート CA の月額料金が課金されます。また、発行する証明書ごとに課金されます。この料金には、ACM からエクスポートする証明書と、 AWS Private CA API または CLI AWS Private CA から作成した証明書が含まれます。プライベート CA が削除された後は、それに対して課金されません。ただし、プライベート CA を復元すると、削除と復元の間の料金が課金されます。プライベートキーにアクセスできないプライベート証明書については、料金は発生しません。これらには、Elastic Load Balancing、CloudFront、API Gateway などの[統合サービス](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html)で使用される証明書が含まれます。

最新の AWS Private CA 料金情報については、[AWS Private Certificate Authority 「 ](https://aws.amazon.com/private-ca/pricing/)料金表」を参照してください。[AWS 料金計算ツール](https://calculator.aws/#/createCalculator/certificateManager) でコストを見積もることもできます。