AWS Certificate Manager(ACM)のプライベート認証局(CA)はインポートしたCA証明書のname constraintsの設定を必須にするようになりました

エウロパ

はじめに

本投稿は、英語とAWSの勉強のためにAWSのannouncements等を翻訳したものになります。基本的に東京リージョンに関係のあるものを翻訳したいと思いますが、興味があれば直接関係がないものもやりたいと思います。タイトルの日付はAWSの記事の公開日になります。平日は毎日1記事翻訳したいと思います。

注意事項

原文中には詳細な製品ページなどへのリンクが貼られていることが多いですが、翻訳内容にはつけていないので、知りたい方は原文をご参照ください。
また、本投稿内容で読者の方が何か不利益を被ったとしても当方は一切責任を負いませんので予めご了承の程よろしくお願いいたします。何かご指摘などありましたら、ご連絡いただければ幸いです。

翻訳元URL

https://aws.amazon.com/jp/about-aws/whats-new/2019/10/aws-certificate-manager-private-certificate-authority-now-enforces-name-constraints-in-imported-ca-certificates/

翻訳

AWS Certificate Manager (ACM) Private Certificate Authority (CA) now enforces name constraints in imported CA certificates. Name constraints are defined in the Internet public key infrastructure (PKI) standard RFC 5280 and provide a way for CA administrators to restrict subject names in certificates.

AWS Certificate Manager(ACM)のプライベート認証局(CA)はインポートしたCA証明書のname constraintsの設定を必須にするようになりました。name constraintsはインターネットのPKIのRFC5280で定義されており、CA管理者が証明書のサブジェクト名を制限する方法として提供されています。

Administrators can now control which names are allowed or prohibited in certificates issued from their private CAs. Customers use private CAs to issue certificates that identify resources within their organizations, such as API endpoints with names like api-example.corp, or server names such as server1.project1.corp. Administrators can allow names they want to be used such as project1.corp, and deny names, including public DNS domain names, such as example.com or *.com or private domain names reserved for other internal projects, such as project2.corp. With these name constraints policies in place, CA administrators can ensure their CA will be used to issue private certificates only for approved resource names. To learn more about name constraints see the ACM Private CA documentation.

管理者はプライベート認証局で発行された証明書における、名前を許可したり禁止するなど制御することができます。利用者は「api-example.corp」といったAPIエンドポイントなど組織の中のリソースや、「server1.project1.corp」といったサーバ名を認証するための証明書を発行するプライベート認証局を使えます。管理者は「project1.corp」のような使いたい名前を許可することもできますし、「example.com」や「*.com」などの公開DNS名や、他の内部のプロジェクトで使っている「project2.corp」のようなプライベートDNS名を拒否することができます。これらのname constraintsのポリシーによって、CA管理者はそのCAが、確実に許可されたリソース名のみのプライベート証明書を発行するように使われるようにします。name constraintsに関する詳しい情報は、ACMプライベートCAのドキュメントをご覧ください。

所感

name constraintsの定義はこちらですね。もちろん読んでいませんが。。
https://www.ipa.go.jp/security/rfc/RFC5280EN.html#042110
PKIやCAといった技術はセキュリティの必須な知識です。私は暗号技術入門でここら辺の知識を得ました。とても分かりやすく書かれているので、暗号に関する基本的な知識を得たい方にはオススメです。

この記事が気に入ったらサポートをしてみませんか?