セキュリティ

AWS Private CA で構築するプライベート PKI - 証明書の自動発行とローテーション

プライベート認証局を構築し、内部サービス間の mTLS 証明書を自動発行する。証明書のライフサイクル管理と CRL の設計を紹介します。

約 1 分で読めます

Private CA の概要

Private CA はプライベート証明書の発行・管理を自動化するマネージド認証局サービスです。ACM (AWS Certificate Manager) がパブリック証明書を無料で発行するのに対し、Private CA は組織内部で使用するプライベート証明書を発行します。マイクロサービス間の mTLS、VPN クライアント認証、IoT デバイス認証など、パブリック証明書では対応できないユースケースに使用します。

証明書の発行と mTLS

Private CA で発行した証明書をサービス間の mTLS に使用すると、通信の暗号化に加えてクライアントの認証も実現できます。短期証明書 (有効期間数時間から数日) を使用すると、証明書の失効リスト (CRL) の管理が不要になります。証明書の有効期間が短いため、漏洩した証明書が悪用される時間窓が極めて小さくなります。ACM との統合で ALB にプライベート証明書を自動デプロイし、内部 ALB の HTTPS 化を実現できます。

証明書テンプレートと自動化

Private CA は証明書テンプレートでサーバー証明書、クライアント証明書、コード署名証明書など用途別の証明書を発行します。 ACM との統合で、 Private CA が発行した証明書を ALB や API Gateway に自動デプロイし、更新も自動化されます。短期証明書 (有効期間 7 日以下) は CRL (証明書失効リスト) の管理を簡素化し、証明書の失効処理が不要になります。 OCSP (Online Certificate Status Protocol) レスポンダーで証明書の有効性をリアルタイムに検証する構成も可能です。 CloudFormation や Terraform で CA の作成と証明書の発行を自動化し、 IaC で PKI インフラを管理します。 証明書管理の基礎から応用まで、書籍 (Amazon)で体系的に学べます。

Private CA の料金

Private CA は月額約 400 ドル/CA で、発行した証明書数に応じた追加料金が発生します。最初の 1,000 枚は 1 枚あたり 0.75 ドル、10,000 枚までは 0.35 ドルです。短期証明書モードでは CA の月額料金が約 50 ドルに割引され、大量の短期証明書を発行するマイクロサービス環境でコスト効率が向上します。CA の階層構造 (ルート CA → 中間 CA) で、ルート CA をオフラインにして中間 CA のみを運用する設計がセキュリティのベストプラクティスです。

まとめ

Private CA は組織内部のプライベート証明書をマネージドに発行・管理するサービスです。短期証明書 (7 日以下) で CRL 管理を簡素化し、ACM 統合で証明書のデプロイと更新を自動化します。mTLS でサービス間の相互認証を実現し、CA の階層構造 (ルート CA + 中間 CA) でセキュリティのベストプラクティスに準拠した PKI を構築します。

関連するサービス

AWS Private Certificate Authorityプライベート証明書の発行・管理を行うマネージド認証局サービスAWS Certificate ManagerSSL/TLS 証明書のプロビジョニング、管理、デプロイを自動化するサービスAWS IAMAWS リソースへのアクセスを安全に管理するための認証・認可サービス

関連する記事

AWS Secrets Manager によるシークレット管理 - 自動ローテーションとアプリケーション統合RDS・Aurora のパスワードを Lambda 関数で自動ローテーションし、SDK キャッシュライブラリでアプリケーションからシームレスに取得する。Parameter Store との使い分けも紹介します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

AWS Private Certificate Authority組織内部用のプライベート X.509 証明書を CA 階層に基づいて発行・管理し、mTLS や IoT デバイス認証に活用するマネージド認証局AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS Certificate ManagerSSL/TLS 証明書のプロビジョニング、管理、自動更新を行うサービスで、CloudFront や ALB での HTTPS 化を無料の証明書で実現する