すべてのプロダクト
Search
ドキュメントセンター

Certificate Management Service:Certificate Management Service はどのように秘密鍵を保護しますか?

最終更新日:Apr 01, 2026

Certificate Management Service は、ハードウェアセキュリティモジュール (HSM) を使用して、エンベロープ暗号化を通じて証明書の秘密鍵を保護します。この HSM は、国家暗号管理局 (SCA) によって認定されているか、FIPS 140-2 Level 3 に準拠しており、キー管理システムの中核として機能します。

この保護は、本サービスが管理するすべての秘密鍵を対象とします。これには、手動でアップロードしたキーと、コンソールで証明書署名要求 (CSR) を作成する際に生成されたキーが含まれます。本サービスは、保存時にプレーンテキストの秘密鍵を保管することはありません。

アップロードフロー

プレーンテキストの秘密鍵を含む証明書をアップロードすると:

  1. Certificate Management Service は HSM を呼び出し、プレーンテキストの秘密鍵を暗号化します。

  2. 結果として得られた暗号文は Object Storage Service (OSS) に保存されます。

  3. プレーンテキストの秘密鍵は破棄され、暗号文のみが保持されます。

image

ダウンロードフロー

プレーンテキストの秘密鍵を含む証明書をダウンロードする場合:

  1. Certificate Management Service は HSM を呼び出し、OSS に保存されている秘密鍵の暗号文を復号します。

  2. Certificate Management Service は、結果として得られたプレーンテキストの秘密鍵を一時的に OSS に保存し、ダウンロードリンクを返します。

  3. ダウンロードが完了するか、ダウンロードリンクの有効期限が切れるとすぐに、本サービスは自動的かつ即座にプレーンテキストの秘密鍵を破棄します。

image