証明書バージョンとローテーション状態

証明書の更新のコンテキストで、証明書バージョンおよびローテーション状態について学習します。

証明書を更新すると、証明書の現在の特定の証明書バージョンのコンテンツが置き換えられます。通常、証明書の更新は証明書の有効期限が近づくと行われますが、証明書メタデータの変更が必要になった、証明書チェーン内の証明書がセキュリティ違反の被害に遭った、新しいCAを使用することになった、などの理由でも行われることがあります。証明書を更新することで、現在のバージョンを以前のバージョンにロールバックすることもできます。

証明書を更新または作成すると、サービスは新しい証明書バージョンに1つ以上のローテーション状態を割り当てます。ローテーション状態は、新しい証明書バージョンと以前の証明書バージョン(存在する場合)の関係を示し、証明書バージョンに対して実行できる操作をユーザーに通知します。また、新しい証明書バージョンは、他の証明書バージョン(存在する場合)のローテーション状態に自動的に影響します。必要に応じて、証明書のローテーション状態を使用すると、証明書バージョンのロールバックが容易になります。

証明書を最初に作成するときなど、証明書バージョンが1つだけ存在する場合、証明書バージョンは自動的に「現在」と「最新」の両方としてマークされます。証明書の「最新」バージョンには、サービスに最後にアップロードされた証明書コンテンツが含まれており、ユーザーがそれを追跡できるようになっています。

証明書を更新して新しい証明書コンテンツをアップロードする場合は、証明書バージョンを「保留中」としてマークできます。証明書バージョンのローテーション状態を「保留中」としてマークすると、証明書バージョンをただちにアクティブに使用できるようにすることなく、証明書コンテンツをサービスにアップロードできます。「現在」の証明書バージョンは、保留中の証明書バージョンを「現在」ステータスにプロモートする準備が整うまで、引き続き使用できます。

証明書コンテンツの更新で間違いがあった場合や、古い証明書コンテンツを使用して再開する必要がある場合などに、以前のバージョンに簡単にロールバックできるように、証明書バージョンを「前」としてマークすることもできます。「前」としてマークされる証明書バージョンは、以前に「現在」としてマークされていた証明書バージョンです。以前のバージョンにロールバックするには、証明書を更新して、目的の証明書バージョン番号を指定します。

証明書バージョンが削除されていないかぎり、証明書を更新して、その過去の証明書バージョンを使用できます。証明書を更新すると、選択した証明書バージョン番号に「現在」のマークが付けられます。これにより、証明書バージョンを「現在」にプロモートした場合と同じ結果になります。

削除できるのは、「非推奨」としてマークされている証明書バージョンのみです。非推奨の証明書バージョンとは、「現在」、「保留中」、「前」のいずれかとしてマークされていないものです。これにより、後で必要になる証明書バージョンを削除してしまう可能性のある状況を回避できます。deprecated以外のマークが付いた証明書バージョンは、currentとしてマークすることで再びアクティブに使用できます。

証明書を更新する場合は、新しい証明書バージョンを生成するために秘密キーもローテーションする必要があります。