プライベート認証局 (CA) が発行した証明書が後に侵害されたり、有効期限前に無効化される必要がある場合、その失効をクライアントに通知する信頼性の高い方法が必要です。Certificate Management Service は、プライベート CA 向けの証明書失効リスト (CRL) をサポートしており、クライアントが失効した証明書を直ちに拒否するための、配布可能で標準ベースのメカニズムを提供します。
このトピックでは、CRL を有効にする方法、そのステータスを確認する方法、および最新の CRL を取得する方法について説明します。
制限事項
CRL を有効にする前に、セットアップが以下の要件を満たしていることを確認してください。
| 制限事項 | 詳細 |
|---|---|
| CA作成方法 | CA 証明書ファイルと秘密鍵ファイルをアップロードして有効化された CA は、CRL をサポートしていません。 |
| 有効化期間 | CRL は、CA を有効にする際にのみ有効化できます。既存の CA に CRL を追加するには、アカウントマネージャーに連絡してください。 |
| OpenAPI Explorer証明書 | OpenAPI Explorer を介して発行された証明書には、cRLDistributionPoints 拡張が含まれていません。 |
CRL更新動作
| 条件 | 影響 |
|---|---|
| 証明書が失効した場合 | 発行元CAのCRLは更新を停止します。 |
| 証明書が有効期限切れになるか、削除された場合 | 発行元CAのCRLは更新を停止し、アクセスできなくなります。 |
CRLの有効化
CRL は、ルート CA または中間 CA を有効にする場合にのみ有効化できます。
Certificate Management Service コンソールにログインします。
左側のナビゲーションウィンドウで、[証明書管理] > [PCA 証明書管理] を選択します。PCA が配置されているリージョンを選択します。
「[プライベート CA]」タブで、CA を見つけ、「[有効化]」を「[操作]」列でクリックします。
[CA Information] パネルで、
アイコンをクリックして CRL を有効にします。
CA パラメーターの詳細については、「プライベート CA の購入と有効化」をご参照ください。
CRLステータスの表示
Certificate Management Service コンソールにログインします。
左側のナビゲーションウィンドウで、[証明書管理] > [PCA 証明書管理] を選択します。お使いの PCA が存在するリージョンを選択します。
[プライベート CA] タブで CA を見つけ、[アクション] 列の
> [詳細] をクリックします。[詳細] パネルで、[CRL ステータス] の値を確認します。
最新のCRLの取得
CA が CRL をサポートしていない場合、または CRL が有効になっていない場合、取得は利用できません。
コンソールから
Certificate Management Service コンソールにログインします。
左側のナビゲーションウィンドウで、[証明書管理] > [PCA 証明書管理] を選択します。PCA が存在するリージョンを選択します。
[プライベート CA] タブで、CA を見つけ、[アクション] 列の
> [CRL のダウンロード] をクリックします。
cRLDistributionPoints 拡張から
クライアントまたはサーバー証明書の cRLDistributionPoints 拡張にある URL にアクセスします。これにより、証明書を発行した中間 CA の最新の CRL ファイルが返されます。cRLDistributionPoints 拡張は RFC 5280 で定義されています。
APIから
DescribeCACertificate 操作を呼び出し、Certificate.CrlUrl レスポンスパラメーターから CRL URL を取得します。詳細については、「DescribeCACertificate」をご参照ください。