AWS認定資格 WEB問題集&徹底解説

デベロッパー–アソシエイト

AWS Private Certificate Authority(Private CA) の概要と試験出題ポイントは?

AWSサービスの一つであるAWS Private Certificate Authority(Private CA)はどんな内容なのでしょうか?また、AWS認定資格のデベロッパー-アソシエイト(DVA)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います

AWS Private Certificate Authority 徹底解説 (100点版)

1. サービス概要

AWS Private Certificate Authority (Private CA)は、企業内システムやIoTデバイス向けに独自の証明書を発行・管理できるマネージド認証局(CA)サービスです。 AWS Certificate Manager(ACM)と連携して、内部用途のSSL/TLS証明書を自動的に発行・更新し、セキュリティと運用効率を両立します。 組織内専用のPKI(Public Key Infrastructure)を構築でき、オンプレミスやクラウド環境を問わず証明書の一元管理を実現します。

2. 主な特徴と機能

2.1 プライベートCAの構築

  • 独自のルートCAまたはサブCAをAWS上で作成可能。
  • 既存オンプレミスCAと統合も可能(クロスサインなど)。
  • 高可用性・冗長化されたAWS基盤上で自動運用。

2.2 証明書発行とライフサイクル管理

  • ACM・ACM Private CA API経由で証明書を発行。
  • 発行、失効、ローテーションを自動化。
  • 有効期限管理・失効リスト(CRL)の自動公開をサポート。

2.3 セキュリティとガバナンス

  • キーはAWS KMSで保護され、手動アクセス不要。
  • IAMポリシーで操作権限を細かく制御。
  • CloudTrail連携により操作履歴を監査可能。

2.4 統合・互換性

  • AWS Certificate Manager (ACM)、Elastic Load Balancing、API Gateway、CloudFrontと統合。
  • IoTデバイス証明書の発行、S/MIME、VPN、LDAP証明書にも対応。
  • RFC 5280準拠で標準的なX.509証明書形式を提供。

2.5 自動化と監査

  • API / CLI / SDK経由で証明書の一括発行・管理が可能。
  • 証明書テンプレートでポリシーを統一。
  • CloudWatchメトリクスとCloudTrailで状況監視・操作記録。

3. アーキテクチャおよび技術要素

  1. 管理者が AWS Private CA を作成(ルートCAまたはサブCA)。
  2. CAはKMSで鍵を暗号化し、安全に保管。
  3. ACMまたはAPIから証明書リクエスト(CSR)を送信。
  4. CAが証明書を署名・発行し、クライアントが利用。
  5. CRLやOCSPレスポンスを自動的に更新・公開。

これにより、オンプレミスCAの複雑なインフラ管理をAWSが代替し、可用性とセキュリティを維持します。

4. セキュリティと認証・認可

  • KMSによるキー保護: CA秘密鍵はAWS Key Management Serviceで管理。
  • IAMポリシー: CA作成・証明書発行・失効操作を厳密に制御。
  • 証明書失効リスト(CRL): 自動生成・S3へ公開可能。
  • 監査: CloudTrailでCA操作ログを記録。
  • プライベートネットワーク内運用: VPC内で証明書を発行・配信可能。

5. 料金形態

Private CAは以下の要素で課金されます。

  • CA運用コスト: アクティブCAごとに月額料金(1時間単位課金)。
  • 証明書発行料: 発行された証明書1枚ごとに従量課金。
  • 失効リスト (CRL) 公開: S3使用料が別途発生。
  • KMS使用料: 鍵管理コスト(使用頻度に応じ課金)。

6. よくあるアーキテクチャ・設計パターン

  • 内部TLS通信: VPC内のマイクロサービス間通信を暗号化。
  • IoTデバイス認証: デバイスごとに固有証明書を発行し安全接続。
  • VPN・LDAP認証: 社内VPN接続やディレクトリ認証で使用。
  • ハイブリッド環境統合: オンプレCAとクロスサインで信頼チェーン統一。
  • サーバー証明書自動更新: ACM + Private CA で内部証明書の自動ローテーション。

7. 設定・デプロイ手順(ハンズオン例)

  1. CA作成:
    aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca-config.json \ --certificate-authority-type ROOT
  2. CSR取得:
    aws acm-pca get-certificate-authority-csr --certificate-authority-arn <CA_ARN>
  3. ルート証明書発行:
    aws acm-pca issue-certificate \ --certificate-authority-arn <CA_ARN> \ --csr fileb://ca.csr --signing-algorithm "SHA256WITHRSA" --validity Value=3650,Type="DAYS"
  4. 証明書発行(クライアント用):
    aws acm-pca issue-certificate \ --certificate-authority-arn <CA_ARN> \ --csr fileb://client.csr --signing-algorithm "SHA256WITHRSA" --validity Value=365,Type="DAYS"
  5. 失効リスト公開:
    aws acm-pca create-certificate-authority-audit-report \ --certificate-authority-arn <CA_ARN> \ --s3-bucket-name my-crl-bucket
  6. アプリ連携(例: ALB):
    aws acm import-certificate --certificate fileb://cert.pem \ --private-key fileb://key.pem --certificate-chain fileb://chain.pem

8. 試験で問われやすいポイント

8.1 Private CAの役割

  • 内部用途の証明書を発行するプライベート認証局
  • パブリックCAでは扱えない社内通信・IoT証明書を発行可能。

8.2 ACMとの関係

  • ACMは証明書の管理・自動更新を担当。
  • Private CAは証明書の発行元(Root/Sub CA)として動作。

8.3 セキュリティと運用

  • KMSによる秘密鍵管理。
  • IAM・CloudTrailによる権限と監査。
  • CRLとOCSPによる失効管理。

8.4 試験頻出比較

  • ACMパブリック証明書: 外部Web公開用。
  • Private CA証明書: 社内・内部通信・IoT用。
  • 自己署名証明書: 管理負荷が高く非推奨。

8.5 ベストプラクティス

  • Root CAを隔離し、Sub CAを運用に使用。
  • 証明書の有効期限短縮でセキュリティ強化。
  • IAMとCloudTrailで厳密なアクセス制御と監査。
広告

お役立ち情報

姉妹サイト

アンケート

サイト情報