証明書管理サービスは、民間認証局 (PCA) をサポートしています。 PCAを使用すると、企業用のプライベート認証局 (CA) を低コストで作成できます。 このようにして、公開鍵インフラストラクチャ (PKI) を作成または維持する必要はありません。 このトピックでは、Certificate Management ServiceコンソールでプライベートCAを作成する方法について説明します。 プライベートCAを作成すると、PCAは自動的に有効になります。
このタスクについて
プライベートCAは、プライベートルートCAとプライベート中間CAとに分類される。 プライベート中間CAは、プライベートルートCAに従属する。 プライベートルートCAは、1つまたは複数のプライベート中間CAを含み得る。 サーバー証明書やクライアント証明書などのプライベート証明書を発行できるのは、プライベート中間CAのみです。
初めてプライベートCAを作成する場合は、まずプライベートルートCAを作成する必要があります。 プライベートルートCAを作成すると、1つのプライベートルートCAと1つのプライベート中間CAを取得できます。 デフォルトでは、プライベート中間CAには10のプライベート証明書を発行するクォータがあります。
企業の組織構造に基づいて、既存のプライベートルートCAに対してより多くのプライベート中間CAを作成できます。 たとえば、プライベートルートCAを使用して、企業のさまざまな部門用のプライベート中間CAを作成できます。 プライベート証明書のクォータを購入して、既存のプライベート中間CAを使用してより多くのプライベート証明書を発行することもできます。
プライベートルートCAの作成
初めてプライベートCAを作成する場合は、次の操作を実行して、最初にプライベートルートCAを作成します。
次の手順
プライベートCAを作成した後、プライベートCAを使用してプライベート証明書を発行する前に、プライベートCAを有効にする必要があります。 プライベートCAを有効にする方法の詳細については、「プライベートCAの有効化」をご参照ください。
関連する API
- プライベート中間CAの作成: プライベートルートCAを作成して有効にすると、プライベートルートCA用に複数のプライベート中間CAを作成できます。
注
- デフォルトでは、既存のプライベートルートCA用に作成されたプライベート中間CAには、プライベート証明書を発行するクォータがありません。 このプライベート中間CAを使用してプライベート証明書を発行することはできません。 既存のプライベートルートCAのプライベート中間CAを作成した後、プライベート中間CAを使用してプライベート証明書を発行する前に、必要なクォータを購入する必要があります。
- 既存のプライベートルートCAのプライベート中間CAを作成すると、プライベート中間CAのCertificate Algorithmパラメーターの値が自動的にプライベートルートCAの値に設定され、変更することはできません。
手順: プライベートCAリストで、[有効] 状態のプライベートルートCAを見つけ、[操作] 列で [CAの作成] をクリックします。 表示されたページで、パラメータを設定し、プロンプトに従って支払いを完了します。 - プライベート証明書を発行するクォータの購入: 既存のプライベートルートCAに必要な数のプライベート証明書を発行するのに十分なクォータがない場合は、追加のクォータを購入できます。 これにより、プライベートルートCAのプライベート証明書を発行するクォータが増加します。
手順: プライベートCAリストで、プライベート証明書を発行するクォータを購入するプライベートルートCAを見つけ、[操作] 列の [証明書の購入] をクリックします。 [証明書の購入] パネルで、ビジネス要件に基づいて証明書の数を入力し、[購入] をクリックして支払いを完了します。注 プライベートルートCA用に購入したクォータがしきい値を超えた場合、発行された超過証明書に対しては課金されません。 しきい値の詳細については、サポートのためにDingTalkグループ番号付き32435999に参加してください。
- 証明書の割り当て: プライベート証明書を発行するクォータを購入した後、プライベートルートCAの異なるプライベート中間CAにクォータを割り当てることができます。
プライベート証明書は、プライベートルートCAとプライベート中間CAが次の条件を満たす場合にのみ割り当てられます。
- プライベートルートCAは有効状態です。
- プライベートルートCAの残りのクォータは0ではありません。
- プライベート中間CAは有効状態である。
手順: プライベートCAリストで、プライベート証明書のクォータを割り当てるプライベートルートCAを見つけ、[残りの証明書クォータ /合計] 列の [証明書の割り当て] をクリックします。 [証明書の割り当て] パネルで、クォータを割り当てるプライベート中間CAを選択し、プライベート中間CAの残りのクォータを指定して、[OK] をクリックします。 - 払い戻しをリクエスト: 無効状態のプライベートCAの払い戻しをリクエストできます。 プライベートCAが有効になっている場合、払い戻しをリクエストすることはできません。
- プライベートCAを更新する: プライベートCAの有効期限が切れると、プライベートCAを使用してプライベート証明書を発行することはできません。 プライベートCAを更新して使用し続けることができます。