Schritt 2 für die Windows Server-CA: Erstellen einer Windows Server-CA mit AWS CloudHSM - AWS CloudHSM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 2 für die Windows Server-CA: Erstellen einer Windows Server-CA mit AWS CloudHSM

Um eine Windows Server-CA zu erstellen, fügen Sie Ihrem Windows Server die Active Directory-Zertifikatsdienste (Active Directory Certificate Services, AD CS)-Rolle hinzu. Wenn Sie diese Rolle hinzufügen, verwenden Sie einen AWS CloudHSM Schlüsselspeicheranbieter (KSP), um den privaten Schlüssel der Zertifizierungsstelle zu erstellen und auf Ihrem AWS CloudHSM Cluster zu speichern.

Anmerkung

Wenn Sie Ihre Windows Server-CA erstellen, können Sie sich für das Erstellen einer Stamm-Zertifizierungsstelle oder einer untergeordneten Zertifizierungsstelle entscheiden. Sie treffen diese Entscheidung in der Regel basierend auf dem Entwurf Ihrer Public Key-Infrastruktur und der Sicherheitsrichtlinien Ihrer Organisation. In diesem Tutorial wird der Einfachheit halber erklärt, wie eine Stamm-CA erstellt wird.

So fügen Sie Ihrem Windows Server die AD-CS-Rolle hinzu und erstellen den privaten Schlüssel der CA

  1. Stellen Sie eine Verbindung mit Ihrem Windows-Server her, sofern noch nicht geschehen. Weitere Informationen finden Sie unter Connect to Your Instance im Amazon EC2 EC2-Benutzerhandbuch.

  2. Starten Sie auf Ihrem Windows-Server Server Manager.

  3. Wählen Sie im Dashboard Server-Manager die Option Rollen und Features hinzufügen.

  4. Lesen Sie die Informationen unter Before you begin (Zur Vorbereitung) und klicken Sie dann auf Weiter.

  5. Wählen Sie unter Installationsart die Rollenbasierte oder funktionsbasierte Installation. Wählen Sie anschließend Weiter.

  6. Wählen Sie unter Serverauswahl die Option Einen Server aus dem Serverpool auswählen. Wählen Sie anschließend Weiter.

  7. Gehen Sie für Serverrollen wie folgt vor:

    1. Wählen Sie Active Directory-Zertifikatdienste.

    2. Wählen Sie für Sollen für Active Directory-Zertifikatsdienste erforderliche Features hinzugefügt werden? die Option Features hinzufügen.

    3. Klicken Sie auf Weiter, um das Auswählen von Serverrollen abzuschließen.

  8. Übernehmen Sie für Features die Standardwerte und klicken Sie dann auf Weiter.

  9. Verfahren Sie für AD CS wie folgt:

    1. Wählen Sie Weiter aus.

    2. Wählen Sie Zertifizierungsstelle und klicken Sie dann auf Weiter.

  10. Lesen Sie unter Bestätigung die Informationen zur Bestätigung und klicken Sie dann auf Installieren. Schließen Sie das Fenster nicht.

  11. Wählen Sie den hervorgehobenen Link Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren.

  12. Prüfen oder ändern Sie die Anmeldeinformationen unter Anmeldeinformationen. Wählen Sie anschließend Weiter.

  13. Wählen Sie für Rollendienste die Option Zertifizierungsstelle. Wählen Sie anschließend Weiter.

  14. Wählen Sie für Installationsart die Option Eigenständige Zertifizierungsstelle. Wählen Sie anschließend Weiter.

  15. Wählen Sie für Zertifizierungsstellentyp die Option Stammzertifizierungsstelle. Wählen Sie anschließend Weiter.

    Anmerkung

    Sie können basierend auf dem Entwurf Ihrer Public Key-Infrastruktur und der Sicherheitsrichtlinien Ihrer Organisation entscheiden, ob eine Stammzertifizierungsstelle oder eine untergeordnete Zertifizierungsstelle erstellt werden soll. In diesem Tutorial wird der Einfachheit halber erklärt, wie eine Stamm-CA erstellt wird.

  16. Wählen Sie für Privater Schlüssel die Option Neuen privaten Schlüssel erstellen. Wählen Sie anschließend Weiter.

  17. Führen Sie für Kryptografie einen der folgenden Schritte aus:

    1. Wählen Sie für Wählen Sie einen Kryptografie-Provider aus eine der Optionen für Cavium-Schlüsselspeicher-Provider im Menü aus. Dies sind die AWS CloudHSM -Schlüsselspeicher-Provider. Beispielsweise können Sie RSA#Cavium Key Storage Provider (RSA#Cavium-Schlüsselspeicher-Provider) wählen.

    2. Wählen Sie für Schlüssellänge eine der verfügbaren Schlüssellängen aus.

    3. Wählen Sie für Select the hash algorithm für signing certificates issued by this CA (Wählen Sie den Hashalgorithmus zum Signieren von Zertifikaten aus, die von dieser Zertifizierungsstelle ausgestellt wurden) einen der verfügbaren Hashalgorithmen aus.

    Wählen Sie Weiter.

  18. Führen Sie für Zertifizierungsstelle einen der folgenden Schritte aus:

    1. (Optional) Bearbeiten Sie den allgemeinen Namen.

    2. (Optional) Geben Sie ein spezifisches Namenssuffix ein.

    Wählen Sie Weiter.

  19. Geben Sie für Gültigkeitsdauer einen Zeitraum in Jahren, Monaten, Wochen oder Tagen ein. Wählen Sie anschließend Weiter.

  20. Für Zertifikatdatenbankkönnen Sie die Standardwerte übernehmen. Sie können optional den Speicherort für die Datenbank und das Datenbankprotokoll ändern. Wählen Sie anschließend Weiter.

  21. Überprüfen Sie die Informationen zur Zertifizierungsstelle unter Bestätigung. Klicken Sie dann auf Konfigurieren.

  22. Klicken Sie auf Schließen und dann erneut auf Schließen.

Sie haben jetzt eine Windows Server-CA mit AWS CloudHSM. Weitere Informationen zum Signieren einer Zertifikatssignierungsanforderung (Certificate Signing Request, CSR) mit Ihrer CA finden Sie unter Signieren einer CSR.