証明書管理サービスは、証明書失効リスト (CRL) 機能を提供します。 この機能を使用して、失効した認証局 (CA) 証明書に関する情報を表示できます。 このトピックでは、CRL機能を有効にする方法と、CRLを表示および取得する方法について説明します。
説明
CRL機能は、CA証明書ファイルと秘密鍵ファイルのアップロードによって有効になるCAではサポートされません。
使用上の注意
CRL機能を有効にする前に、次の項目に注意してください。
CRL機能は、CAを有効にする場合にのみ有効にできます。 CAを有効にした後にCRL機能を有効にする場合は、アカウントマネージャーに連絡してください。.
証明書が取り消されると、証明書が発行されたCAのCRLは更新されなくなります。
証明書が期限切れまたは削除された場合、証明書の発行元であるCAのCRLは更新されなくなり、アクセスできなくなります。
OpenAPI Explorerで操作を呼び出して発行された証明書には、cRLDistributionPoints拡張子がありません。
CRL機能の有効化
CRL機能は、ルートCAまたは中間CAを有効にする場合にのみ有効にできます。
Certificate Management Serviceコンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。 PCA証明書管理ページで、PCAが存在するリージョンを選択します。
プライベートca タブで、必要なプライベートCAを見つけ、[操作] 列の [有効化] をクリックします。
CA情報パネルで、
アイコンをクリックしてCRL機能を有効にします。 プライベートCAを有効にするために必要なパラメーターの詳細については、「プライベートCAの購入と有効化」をご参照ください。
CRL機能のステータスを表示する
Certificate Management Serviceコンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。 PCA証明書管理ページで、PCAが存在するリージョンを選択します。
プライベートca タブで必要なCAを見つけ、[操作] 列の
> 詳細をクリックします。 [Details] パネルで、CRL Statusパラメーターの値を表示します。
最新のCRLを取得する
このセクションでは、CAの最新のCRLを取得するために使用できる方法について説明します。 CAがCRL機能をサポートしていない場合、またはCAに対してCRL機能が有効になっていない場合は、CAのCRLを取得できません。
Certificate Management ServiceコンソールでCRLを取得する
Certificate Management Serviceコンソール にログインします。
左側のナビゲーションウィンドウで、 を選択します。 PCA証明書管理ページで、PCAが存在するリージョンを選択します。
プライベートca タブで必要なCAを見つけ、[操作] 列の
> [CRLのダウンロード] をクリックします。
クライアント証明書またはサーバー証明書のcRLDistributionPoints拡張でCRLを取得する
証明書のcRLDistributionPoints拡張子で指定されているURLに直接アクセスして、証明書を発行する中間CAの最新のCRLのファイルを取得できます。 cRLDistributionPoints拡張は、RFC 5280で定義されています。
操作を呼び出してCRLを取得する
DescribeCACertificate操作を呼び出して、CAのCRLを取得し、Certificate.CrlUrl応答パラメーターからCRLへのURLを取得できます。 詳細については、「DescribeCACertificate」をご参照ください。