2022.10.9時点の情報です。
内容
AWSのACM(AWS Certificate Manager)を利用してプライベート証明書を発行する方法を調べてみた。(発行には、自分個人利用としては高額な費用が発生するため、発行まで実施はできていません。)
ACM画面からできること
AWSマネジメントコンソールでは以下3つのボタンが表示される。
- 証明書をリクエスト
- 証明書をインポート
- プライベートCAを作成
引用:https://ap-northeast-1.console.aws.amazon.com/acm/home?region=ap-northeast-1#/welcome
プライベート証明書を作成するために、プライベート証明書をリクエストしてみる。
証明書をリクエスト
- 「プライベート証明書をリクエスト」がグレーアウトされて選択できない。
説明文を見ると、どうやらプライベート認証機関(CA)を作成しないと作れない。引用:https://ap-northeast-1.console.aws.amazon.com/acm/home?region=ap-northeast-1#/certificates/request
プライベートCAを作成
- AWS Private Certificate Authorityの画面が表示される
引用:https://ap-northeast-1.console.aws.amazon.com/acm-pca/home?region=ap-northeast-1#/
プライベートCAを作成すると料金400USD/CAが毎月発生する。1ヶ月に満たない場合は日割りで請求される記載がある。プライベートCA作成してプライベート証明書発行後、プライベートCAを一旦削除し、必要なタイミング(SSL証明書更新時)にまた作成すれば費用が抑えられるかと思ったが、「削除したCAを復元した場合は、削除から復元までの期間について課金されます」とも記載がある。aws.amazon.com
上記より、費用を抑えることは難しそう。また、無料トライアル期間が30日あるようだが、削除し忘れて料金発生するのは避けたいので、あきらめて作成するための操作だけ確認していく。画面上の「プライベートCAを作成」を押す。 - プライベート認証機関(CA)を作成の画面で、以下の入力項目がある。
(1)CAタイプのオプション
(2)サブジェクトの識別名のオプション
(3)キーアルゴリズムのオプション
(4)証明書失効オプション
(5)タグを追加
(6)CA許可のオプション
(7)料金の確認チェック
引用:https://ap-northeast-1.console.aws.amazon.com/acm-pca/home?region=ap-northeast-1#/wizard
必要情報を入力して「CAを作成」を押せば、プライベートCAが作成される(本記事では実施していません)。
プライベートCAを作成後は、「証明書をリクエスト」にて、グレーアウトされていた「プライベート証明書をリクエスト」が押せる状態になると想定される。
補足
料金が高いプライベートCAですが、AWS Resource Access Manager (RAM) を利用することで別のアカウントや組織内で共有が可能との記事がありました。1個作成して、別アカウントや組織で共有すれば、全体としては費用が抑えられそう。
以上です。