- 印刷する
- PDF
Private CAを使用する
- 印刷する
- PDF
Classic/VPC環境で利用できます。
Private CAでは、プライベートCAを用いてプライベート証明書を安全に発行して管理したり、失効させることができます。失効させた証明書の場合、別途リストで管理して情報を確認することもできます。
Private CAの使用では、認証関連の様々な用語が登場します。理解を深めるために、Private CAの用語を必ずご参照ください。
Private CA画面
Private CAを利用するための基本的な説明は以下のとおりです。
領域 | 説明 |
---|---|
① メニュー名 | サービス名と作成したCA数 |
② 基本機能 | CAの作成、Private CAの詳細情報の確認、Private CA画面の更新 |
③ 作成後の機能 | CA証明書の確認、権限管理、非アクティブと削除設定、プライベート証明書の発行と失効 |
④ CAリスト | CAリストと詳細情報の確認、OCSPの管理、証明書の登録、終了証明書の削除 |
CAリストの確認
作成したCAリストで各CAの情報を確認できます。確認する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールにアクセスします。
- Platformメニューで、VPCとClassicの中からクリックして選択します。
- Services > Security > Private CAメニューを順にクリックします。
- 作成したCAリストが表示されたらサマリー情報を確認するか、CAをクリックして詳細情報を確認します。
- タイプ:プライベートCAのタイプ
- 名前:プライベートCAの名前
- 終了日:プライベートCAの有効期間の終了日
- 状態:プライベートCAの運用状態で、詳細はCAの状態を参照
- CA Tag: 顧客がリソースを確認する際に使用するCA固有識別子
- 一般名(Common Name):主体(発行者)の一般名
- 作成日:プライベートCAを作成した日
- 発行証明書:CAで発行した証明書数
- :クリックすると、発行されたプライベート証明書のシリアル番号リストが確認できる。また、シリアル番号をクリックすると、証明書ファイルをローカルPCにダウンロードできる
- :クリックすると、発行されたプライベート証明書のシリアル番号リストが確認できる。また、シリアル番号をクリックすると、証明書ファイルをローカルPCにダウンロードできる
- CA発行者:CAを発行した主体で、詳細はCA情報URLを参照
- CRL配布ポイント:証明書失効リスト(Certificate Revocation List) URL情報で、詳細はCA情報URLを参照
- OCSP:オンライン証明書状態プロトコル(Online Certificate Status Protocol) URL情報で、詳細はCA情報URLを参照
- メモ:CAに関する追加情報
- [CSRのダウンロード] ボタン:登録待ち状態のCAアクティブ化のための署名要求ファイル
- [証明書の登録] ボタン:登録待ち状態のCAアクティブ化のために署名した証明書や発行CAの証明書を登録する場合にクリック
CAの状態
CAの状態に応じて基本機能を利用できるかどうかが変わります。状態別に利用可能な基本機能情報は以下のとおりです。
CA証明書を見る | 権限管理 | 非アクティブ/アクティブ | 削除リクエスト | プライベート証明書の発行 | プライベート証明書の失効 | |
---|---|---|---|---|---|---|
有効化 | O | O | 非アクティブ O | O | O | O |
無効化 | O | X | アクティブ O | O | X | X |
登録待ち | O | X | X | O | X | X |
終了 | O | X | X | X | X | X |
削除予定 | O | X | X | - | X | X |
完全削除 | X | X | X | X | X | X |
CAが非アクティブ状態になると、基本的に照会機能以外のその他機能の実行ができなくなります。特に、証明書が発行できないだけでなく、既に発行済みの証明書も認証方法によっては信頼されないことがあります。また、配布されたURLによる機能も利用できません。そのため、CAの状態は大切に管理される必要があります。状態の変更を招く非アクティブ/アクティブや削除リクエスト機能は慎重に行ってください。
終了したCAは [今すぐ削除] ボタンをクリックして完全削除できますが、復旧はできません。
CA情報URL
プライベート証明書には、証明書の検証や照会に必要な情報を照会できるように3つのURLポイントを明示されます。
通信接続時にプロトコルの内部で自動的に照会でき、当該URLを通じて直接照会もできます。Private CAで発行するプライベート証明書に含まれるCA情報URLは基本的に提供される場合もあれば、ユーザーの必要に応じて含まれて提供される場合もあります。CA情報URLが提供されるかどうかは以下のとおりです。
- 発行者チェーン(Issuer Chain):Private CAで基本的に提供
- 証明書失効リスト(Certificate Revocation List、CRL):Private CAで基本的に提供
- オンライン証明書状態プロトコル(Online Certificate Status Protocol、OCSP):ユーザーの必要に応じてPrivate CAで提供。詳細は6. OCSPの管理を参照
プライベートCAの作成
プライベートCAを作成します。Private CAでは、ルートCAと中間CAをいずれも作成できます。CAの作成において以下の1.~4.は必須です。5. 証明書の登録は、中間CAを直接署名方式で作成する場合にのみ行います。6. OCSPの管理は、OCSPの作成を希望するユーザーに限り行います。
ルートCAや中間CAを作成する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールにアクセスします。
- Platformメニューで、VPCとClassicの中からクリックして選択します。
- Services > Security > Private CAメニューを順にクリックします。
- [利用申込] ボタンをクリックします。
- サービス申込画面が表示されたら、以下の手順を順に行います。
NAVERクラウドプラットフォームポータルのサービス > Security > Private CAにある [利用を申し込む] ボタンをクリックすると、4.の画面に直接移動できます。
1. 一般設定
プライベートCAを作成するための一般情報を設定します。設定する方法は以下のとおりです。
- 一般設定画面が表示されたら、必要な情報を入力します。
- タイプ:作成するCAの種類を選択
- 名前:作成するCAの名前をアルファベット、数字、特殊文字(「-」「_」)を組み合わせて3~15文字で入力。先頭文字はアルファベットにする
- メモ:作成するCAに関する追加情報を1,000バイト以下で入力
- [次へ] ボタンをクリックします。
2. 基本情報の入力
作成するCAに関する基本的な情報を設定します。1. 一般設定で選択したタイプと2. 基本情報の入力で選択した方式に応じて入力する基本情報は以下のとおりです。
- ルートCAを選択した場合:有効期間、キータイプ
- 中間CAを選択して上位CA指定方式を選択した場合:上位CA、有効期間、キータイプ
- 中間CAを選択して直接署名方式を選択した場合:キータイプ
証明書の有効期間は署名時点で設定するため、直接署名方式の場合には有効期間を指定できません。
設定する方法は以下のとおりです。
- 基本情報の入力画面が表示されたら、必要な情報を入力または選択します。
- 上位CA:中間CAを作成する場合、クリックして選択
- 上位CA指定方式:Private CAに既に作成されているCAを発行者(Issuer)の役目として自動指定する場合、希望するCAをクリックして選択
- 直接署名方式:顧客が直接管理するCAを使用して行う場合、直接署名をクリックして選択
参考情報ルートCAを作成する場合、上位CA項目は無効になっているため、選択できません。
- 有効期間:作成するCAの有効期間を1~3650日で入力。指定可能な最大期間に設定するには、「MAX」と入力
- キータイプ:作成するCAに使用する公開鍵暗号化アルゴリズムをクリックして選択
- RSA2048:RSA(Rivest-Shamir-Adleman)アルゴリズムの一つで、詳細はRFC7518を参照
- RSA4096:RSA(Rivest-Shamir-Adleman)アルゴリズムの一つで、詳細はRFC7518を参照
- EC256:EC(Elliptic Curves)アルゴリズムの一つで、詳細はCerticom資料を参照
- EC521:アルゴリズムの一つで、詳細はCerticom資料を参照
- 上位CA:中間CAを作成する場合、クリックして選択
- [次へ] ボタンをクリックします。
中間CAの作成時、有効期間は上位CAの終了日を超えて設定できません。
3. 高度な設定情報の入力
作成するCAに関する高度な設定情報を設定します。設定可能な高度な設定情報は以下のとおりです。
- 主体情報(Subject Info):証明書所有者の主体識別情報
- 住所情報(Address Info):証明書に記載する住所情報
- SANs情報(Subject Alternative Names Info):マルチドメイン証明書を作成するための情報(一つの証明書で一緒にセキュリティを維持するDNS/Email、IP情報)
CA証明書は、一般的にSANs設定が不要であるため、SANs情報は必須設定ではありません。
設定する方法は以下のとおりです。
- 高度な設定情報の入力画面が表示されたら、主体情報(Subject Info)を入力します。
- 一般名(Common Name):証明書所有者の主体を識別できる固有情報または発行者の一般的な名前
- 組織(O):証明書所有者主体の組織情報
- 部署(OU):証明書所有者主体の部署情報
- 主体情報(Subject Info)の設定が完了したら、住所情報(Address Info)をクリックして選択または入力します。
- 国:証明書に記載する国情報
- 都道府県(State/Province):証明書に記載する都道府県名の情報
- 市区町村(Locality):証明書に記載する市区町村名の情報
- 詳細住所(Street/Address):国、都道府県、市区町村のほかに証明書に記載する残りの住所情報
- 住所情報(Address Info)設定が完了したら、SANs情報(Subject Alternative Names Info)を入力します。
- DNS/Email SANs:ドメイン/ホストネームか、メールアドレスを入力。2つ以上入力する場合はコンマで区切る。ドメインの入力時は特殊文字のうち*を使用できる
- IP SANs:IPアドレスを入力。2つ以上入力する場合はコンマで区切る
- [次へ] ボタンをクリックします。
4. 確認
作成するCA情報を確認し、作成を始めます。
- CA情報の確認画面が表示されたら、作成情報を確認し、[作成] ボタンをクリックします。
- 中間CAを直接署名方式で作成した場合、CA登録待ちポップアップが表示されたら、[確認] ボタンをクリックします。
- その後の進行過程は5. 証明書の登録を参照
- 作成したCAリストが表示されたら、結果を確認します。
5. 証明書の登録
中間CAを直接署名方式で作成した場合、CSR(署名要求ファイル)が作成されます。CSRが作成された時点から24時間以内に署名して証明書を登録する必要があります。24時間以内に証明書を登録しなかった場合、CSRは自動削除されます。署名して証明書を登録する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのPlatformメニューでVPCとClassicの中からクリックして選択します。
- Services > Security > Private CAメニューを順にクリックします。
- 証明書に署名するには、登録待ち状態の中間CAの [CSRのダウンロード] ボタンをクリックします。
- CSRファイルの署名には様々な方式がありますが、opensslを利用すれば簡単にCSRを署名して証明書を発行できます。ダウンロードしたCSRファイルにopensslを用いて直接管理するCAの秘密鍵my_local_ca.keyで署名し、365日の有効期間を持つ証明書TEST_SUB_crt.pemを作成するコマンドの例は以下のとおりです。
openssl x509 -req -days 365 -in MY_SUB_csr.pem -signkey my_local_ca.key -out TEST_SUB_crt.pem
- 署名した証明書や発行CAの証明書を登録するには、登録待ち状態の中間CAの [証明書の登録] ボタンをクリックします。
注意事項発行CAの証明書はCAの秘密鍵でないことにご注意ください。
- 証明書の登録ポップアップが表示されたら、必要な情報を登録します。
- 証明書チェーン:発行CAが階層構造で構成されている場合は、上位発行CAの証明書チェーンをすべて登録
- 証明書の本文:署名した証明書の本文を登録
- [確認] ボタンをクリックします。
- プライベートCAリストで証明書を登録し、変更されたCAの状態を確認します。
- アクティブ:CAのすべての機能が利用できる正常運用状態
- で登録する証明書チェーンファイルの例は以下のとおりです。
-----BEGIN CERTIFICATE-----
MIIDbjCCAlagAwIBAgIUIee5Ez90s6yqnC1RHYBkw3NpNc4wDQYJKoZIhvcNAQEL
BQAwPjELMAkGA1UEBhMCS1IxDDAKBgNVBAoTA05CUDEhMB8GA1UEAwwYW0JFVEFd
IEJlYWdsZV9Jb1QgU3ViIENBMB4XDTIwMDYyOTAxMDkzMVoXDTI5MDQxNzE4NTYw
M1owPzELMAkGA1UEBhMCS1IxDDAKBgNVBAoTA05CUDESMBAGA1UECxMJQ2xvdWQg
....
z0rXUrhhU2KMXtylXfzJqZkj3VLqjoNmjFcCgeeweto/1A8in9UhK1KzSUVcKVlL
XcHpYjn3BoxbVV+EsVCjhz+9dtKASo9ptZUDrOHLrYnaONShGI6pwxj5Dew4ttvm
VE39KQYNcdt7ajrXMmVfatq2zk+PoiSDjZ5flbzJoIrK3TE1NAgXYpXYjzphBXZ2
Gt9B53lFQHNnnMDDnjbIiQUp
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDazCCAlOgAwIBAgIUPIsBMXl3zeP5rSAcbahl6crbjwcwDQYJKoZIhvcNAQEL
BQAwPDELMAkGA1UEBhMCS1IxDDAKBgNVBAoTA05CUDEfMB0GA1UEAwwWW0JFVEFd
IE5DUCBQQ0EgUk9PVCBDQTAeFw0xOTA0MjIwMjE5NDVaFw0yOTA0MTcxODU2MTRa
MD4xCzAJBgNVBAYTAktSMQwwCgYDVQQKEwNOQlAxITAfBgNVBAMMGFtCRVRBXSBC
....
EWwyIcKDmymr7n14G15loPU0Q+cH2hTS/r9RXxw6Gjd7DnKcjF/970TR41tlxetW
f3DCAKP6KIUKh2eAy7HHt82HExP+KRLJbocA5QRwtwWY3zVIuHg6oLM5mdtDfBwl
kMLaJCAzSSgmcg63fQChz2kUuldaw7/5H1CI3i8VB+9JcM2l4imDhiaGlCquTKL3
VMfHx+eysnncEUxP54DD
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDaTCCAlGgAwIBAgIUNQfx2Rk2TqCM1o9PeN7/TJCz4iMwDQYJKoZIhvcNAQEL
BQAwPDELMAkGA1UEBhMCS1IxDDAKBgNVBAoTA05CUDEfMB0GA1UEAwwWW0JFVEFd
IE5DUCBQQ0EgUk9PVCBDQTAeFw0xOTA0MjAxODU1NDdaFw0yOTA0MTcxODU2MTda
MDwxCzAJBgNVBAYTAktSMQwwCgYDVQQKEwNOQlAxHzAdBgNVBAMMFltCRVRBXSBO
....
IQV7Vqgs0NsKqJ9rPKi88gu9x3y6/pEo8C9s2aTZ1l7sYauh00gySffRQeu2WCWx
mdxRKMRIlFaLFVHpXxGhga/DEvFo9EhouNP4CjaIe4FcvWBZ30Msp/fJbzg/Bnby
VXGZcU0qiFHZbIa7dViO0re5AujhqKt4HYuhT787xNLLyG95m/6XUKcEvxBGR9ZZ
vpDcpjcEC94qLxPHXg==
-----END CERTIFICATE-----
証明書を直接署名するCA証明書では、CA用拡張フィールド(Basic constraintsのCAオプション)が有効になっている必要があります。例は以下のとおりです。
...
X509v3 extensions:
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Basic Constraints: critical
CA:TRUE
...
6. OCSPの管理
Private CAは顧客の便宜を図るために、オンライン証明書状態プロトコル(Online Certificate Status Protocol、OCSP)機能を基本的に提供しています。必要に応じてOCSP照会機能を有効にし、発行するプライベート証明書に含まれるように設定することができます。
OCSPの作成
基本的に提供されるOCSP機能を有効にしてOCSP URLを証明書に配布するために、OCSPを作成します。OCSPを作成したCAで発行した証明書には、以下のようなOCSP URLが含まれます。
Authority Information Access:
OCSP - URI:{NCP PrivateCA OCSP URL}
CA Issuers - URI:{NCP PrivateCA CA URL}
X509v3 CRL Distribution Points:
Full Name:
URI:{NCP PrivateCA CRL URL}
OCSPを作成する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのPlatformメニューでVPCとClassicの中からクリックして選択します。
- Services > Security > Private CAメニューを順にクリックします。
- OCSPを作成するCAをクリックして選択し、OCSPの [作成] ボタンをクリックします。
証明書の失効の有無を照会するためにCRLを直接参照することもできますが、Private CAが提供するOCSP情報を照会して確認する方法もあります。OCSPを照会して証明書失効の有無を照会するためのコマンドは以下のとおりです。
openssl ocsp -issuer {Chain cert} -cert {Cert} -header Host {NCP Private CA Host Name} -url {OCSP URL} -VAfile {OCSP Responder cert} -text
OCSPの削除
使用していたOCSP機能を無効にして削除することができます。OCSPを削除したCAで発行した証明書には、OCSP URLが含まれないようになります。OCSPを作成する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのPlatformメニューでVPCとClassicの中からクリックして選択します。
- Services > Security > Private CAメニューを順にクリックします。
- OCSPを削除するCAをクリックして選択し、OCSPの [削除] ボタンをクリックします。
- OCSPの削除ポップアップが表示されたら、[削除] ボタンをクリックします。
CA証明書を見る
作成したCA別に詳細情報や発行された証明書を確認したり、証明書の本文やチェーン情報をPEMファイルでダウンロードできます。CA証明書を確認したり、ダウンロードする方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのPlatformメニューでVPCとClassicの中からクリックして選択します。
- Services > Security > Private CAメニューを順にクリックします。
- 確認するCAをクリックして選択し、[CA証明書を見る] ボタンをクリックします。
- CA証明書の詳細情報ポップアップが表示されたら、必要な情報を確認します。
- 証明書の本文や証明書チェーンをダウンロードするには、[ダウンロード] ボタンをクリックします。
- [確認] ボタンをクリックします。
ルートCAは上位CAがないため、4.でチェーン情報は表示されません。
権限管理
個々のCA(ユーザーが選択した特定のCA)に対する管理権限を付与するサブアカウントを登録したり、登録したサブアカウントを削除することができます。権限の登録または削除は、アクティブ状態のCAに対してのみ行えます。
権限管理機能を利用するには、先にNAVERクラウドプラットフォームのSub Accountでサブアカウントを追加する必要があります。Sub Accountのアカウント作成方法は、Sub Accountご利用ガイドを参照してください。
権限を登録または削除する方法は以下のとおりです。
Sub Accountは利用申込の際に別途料金が発生しない無料サービスです。Sub Accountの紹介や料金プランに関する詳しい説明は、Private CAの権限管理やNAVERクラウドプラットフォームポータルのサービス > Management & Governance > Sub Accountメニューをご参照ください。
- NAVERクラウドプラットフォームコンソールのPlatformメニューでVPCとClassicの中からクリックして選択します。
- Services > Security > Private CAメニューを順にクリックします。
- 権限を管理するCAをクリックして選択し、[権限管理] ボタンをクリックします。
- CAユーザーの管理ポップアップが表示されたら、必要な管理を行います。
- 管理アカウントの追加:追加するアカウントをクリックして選択し、[追加] ボタンをクリック
- 管理アカウントの削除:削除するアカウントの [削除] ボタンをクリック
- 管理アカウントの追加:追加するアカウントをクリックして選択し、[追加] ボタンをクリック
- [閉じる] ボタンをクリックします。
- のCAユーザーの管理ポップアップで [Sub Account] ボタンをクリックすると、Sub Accountに移動してアカウントを追加、修正、削除することができます。
アクティブ/非アクティブ
正常に運用していたCAを特定の理由により非アクティブ状態に変更したり、非アクティブ状態のCAを再びアクティブ状態に変更することができます。非アクティブ状態になると、CAは照会機能以外の大部分の機能が遮断されます。CAのアクティブの有無を設定する方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのPlatformメニューでVPCとClassicの中からクリックして選択します。
- Services > Security > Private CAメニューを順にクリックします。
- アクティブの有無を設定するCAをクリックして選択し、設定を行います。
- アクティブ状態を非アクティブ状態に変更する場合:[非アクティブ] ボタンをクリック
- 非アクティブ状態をアクティブ状態に変更する場合:[アクティブ] ボタンをクリック
削除リクエスト
作成したCAの削除をリクエストできます。削除リクエストが届けられると、72時間の待機を経てから自動削除(失効)されます。削除待ち中のCAは非アクティブ状態と同様に、照会機能以外の大部分の機能が遮断されます。自動削除されると復旧ができない上に、連携システムに深刻な影響を及ぼしかねません。慎重に行ってください。
待機時間の72時間が過ぎてからCAを自動削除する場合、下位CAを含め削除されたCAが発行した証明書の運用状態や終了の有無などを確認せずに削除します。一度削除したCAは秘密鍵が完全削除され復旧できません。慎重に行ってください。削除されたCAはその後信頼されなくなり、発行されたすべての証明書は認証に利用できません。
削除待ち中のCAに対する削除リクエストをキャンセルするには、72時間の待機時間が経過する前に [削除のキャンセル] ボタンをクリックしてください。ボタンをクリックすると削除リクエストは撤回され、直ちに非アクティブ状態に切り替わります。CAを再び運用するには、アクティブ状態に切り替えてください。ただし、登録待ち状態のCAに対する削除リクエストを撤回すると、登録待ち状態に切り替わります。
削除リクエストを行う方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのPlatformメニューでVPCとClassicの中からクリックして選択します。
- Services > Security > Private CAメニューを順にクリックします。
- 削除リクエストを行うCAをクリックして選択し、[削除リクエスト] ボタンをクリックします。
- CAの削除ポップアップが表示されたら、CA名の入力に削除するCAの名前を入力します。
- [削除リクエスト] ボタンをクリックします。
- プライベートCAリストで削除リクエストを行った後、変更されたCAの状態を確認します。
- 削除予定:削除リクエストが受け付けられ、完全削除までの72時間は待機中の状態
- 状態フィールドに表示された削除予定日に削除せずに直ちに削除するには、[今すぐ削除] ボタンをクリックします。
- CAを今すぐ削除ポップアップが表示されたら注意事項を確認し、[削除] ボタンをクリックします。
CAを今すぐ削除の場合でも、下位CAを含め削除されたCAが発行した証明書の運用状態や終了の有無などを確認せずに削除します。一度削除したCAは秘密鍵が完全削除され復旧できません。慎重に行ってください。削除されたCAはその後信頼されなくなり、発行されたすべての証明書は認証に利用できません。
プライベート証明書の発行
作成したCAでプライベート証明書を発行できます。プライベート証明書の発行方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのPlatformメニューでVPCとClassicの中からクリックして選択します。
- Services > Security > Private CAメニューを順にクリックします。
- プライベート証明書を発行するCAをクリックして選択し、[プライベート証明書の発行] ボタンをクリックします。
- プライベート証明書の発行ポップアップが表示されたら、発行する証明書情報を入力します。
- 項目別の説明:2. 基本情報の入力を参照
- [発行] ボタンをクリックします。
- プライベート証明書の詳細情報ポップアップが表示されたら、証明書情報を確認します。
- 発行者:プライベート証明書を発行したCA名
- シリアル番号:プライベート証明書を識別する固有番号
- 証明書の本文:証明書の本文情報。ローカルPCに保存するには、[ダウンロード] ボタンをクリック
- 証明書の秘密鍵:証明書の秘密鍵情報。ローカルPCに保存するには、[ダウンロード] ボタンをクリック
- 証明書チェーン:発行者が階層構造の場合に含まれる証明書チェーン情報。ローカルPCに保存するには、[ダウンロード] ボタンをクリック
- OCSP証明書:CAポイントURLが作成されている場合に含まれるOCSP情報。ローカルPCに保存するには、[ダウンロード] ボタンをクリック
注意事項Private CAはプライベート証明書の秘密鍵を保存しないため、この画面を終了すると再取得できません。そのため、発行されたプライベート証明書の秘密鍵は必ずダウンロードして保管してください。
プライベート証明書の失効
発行したプライベート証明書を失効させることができます。失効すると直ちにCRL(証明書失効リスト)に登録されます。失効操作はキャンセルできません。慎重に行ってください。プライベート証明書を失効させる方法は以下のとおりです。
- NAVERクラウドプラットフォームコンソールのPlatformメニューでVPCとClassicの中からクリックして選択します。
- Services > Security > Private CAメニューを順にクリックします。
- 失効させる証明書が発行されたCAをクリックして選択し、[プライベート証明書の失効] ボタンをクリックします。
- プライベート証明書の失効ポップアップが表示されたら、失効させる証明書のシリアル番号を入力します。
- 証明書のシリアル番号の確認方法:CAリストの確認を参照
- [失効] ボタンをクリックします。
- 失効した証明書のシリアル番号は、発行証明書リストから削除されません。そのため、証明書の有効性チェックのための失効の有無確認は、必ずCRL(またはOCSPの照会)をご参照ください。
- 下位CA証明書は発行証明書リストに表示されますが、直接失効させることはできません。下位CA証明書はCAの削除の際に自動で失効します。
証明書の失効が登録されたCRLの例は以下のとおりです。
$ curl {CRL URL} | openssl crl -text -noout
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=KR/ST=\xEA\xB2\xBD\xEA\xB8\xB0\xEB\x8F\x84/L=\xEC\x84\xB1\xEB\x82\xA8\xEC\x8B\x9C/O=Naver Cloud Platform/OU=Security Dev/CN=My sub CA
Last Update: Jul 15 15:29:22 2020 GMT
Next Update: Jul 18 15:29:22 2020 GMT
CRL extensions:
X509v3 Authority Key Identifier:
keyid:17:43:8A:2C:FD:8A:7C:20:44:6F:F1:52:6B:9D:7E:27:8F:E8:0B:0C
Revoked Certificates:
Serial Number: 658D43B364DD48B6F69AFB3E27010F6A42D61D66
Revocation Date: Jul 15 15:29:22 2020 GMT
Signature Algorithm: sha256WithRSAEncryption
23:9e:a9:a8:76:32:db:c3:2c:15:ba:3c:15:94:ea:ef:d2:fd:
3a:7d:0f:da:68:b2:69:8a:d0:c2:3e:21:19:f8:c7:b4:6a:a6:
2e:2f:c1:3b:13:61:a0:98:ff:6d:f8:40:8f:2f:5b:09:db:c8:
b6:85:5b:69:3b:5c:5a:8e:37:3a:12:eb:46:bd:e8:fd:4f:ba:
e3:94:a3:75:96:bb:3c:4c:4d:3e:25:f1:54:bd:ae:09:ca:63:
fb:31:2a:e4:b0:e0:de:0e:2f:83:f2:96:26:ef:7c:b8:c2:24:
80:ce:38:d5:d4:b4:e4:04:13:56:c1:c4:63:26:9d:34:c9:e4:
67:73:1d:0f:e0:5c:ca:b6:00:ea:f3:39:e6:f9:c8:67:07:3f:
d5:cc:ca:82:7a:45:ae:ff:6f:b4:5f:bc:62:a8:9c:0c:7e:d3:
88:e1:c9:5b:c8:d0:3c:b7:22:20:dd:3a:98:b9:82:61:25:e0:
3b:6f:e1:f7:ea:94:b0:e5:a8:9b:49:e4:1c:0d:bc:6a:25:65:
40:04:02:4b:eb:ea:71:d7:2f:74:85:c4:b9:aa:92:f2:60:e7:
6c:bd:85:5f:17:f2:ca:0f:35:b1:fb:5e:33:65:0f:d8:50:70:
2d:61:76:8d:19:d3:a0:f3:87:ee:7a:f8:10:fd:5f:c9:dc:44:
e4:c3:7c:00