Verwenden Sie extern signierte private CA-Zertifikate - AWS Private Certificate Authority

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie extern signierte private CA-Zertifikate

Wenn es sich bei der Vertrauensbasis Ihrer privaten Zertifizierungsstellenhierarchie um eine Zertifizierungsstelle außerhalb von handeln muss AWS Private CA, können Sie Ihre eigene Stammzertifizierungsstelle erstellen und selbst signieren. Alternativ können Sie ein privates CA-Zertifikat erhalten, das von einer externen privaten CA signiert wird, die von Ihrer Organisation betrieben wird. Unabhängig von der Quelle können Sie diese extern abgerufene Zertifizierungsstelle verwenden, um ein privates Zertifikat einer untergeordneten Zertifizierungsstelle zu signieren, das AWS Private CA verwaltet wird.

Anmerkung

Verfahren zur Einrichtung oder Beschaffung eines externen Vertrauensdienstanbieters fallen nicht in den Anwendungsbereich dieses Handbuchs.

Wenn Sie eine externe übergeordnete Zertifizierungsstelle mit verwenden AWS Private CA , können Sie die Einschränkungen der Zertifizierungsstellennamen durchsetzen, wie sie im Abschnitt „Namensbeschränkungen“ von RFC 5280 definiert sind. Namenseinschränkungen bieten CA-Administratoren die Möglichkeit, die Namen von Antragstellern in Zertifikaten einzuschränken.

Wenn Sie beabsichtigen, ein privates Zertifikat einer untergeordneten Zertifizierungsstelle mit einer externen Zertifizierungsstelle zu signieren, müssen Sie drei Aufgaben erledigen, bevor Sie über eine funktionierende Zertifizierungsstelle verfügen: AWS Private CA

  1. Generieren Sie eine Zertifikatsignieranforderung (CSR).

  2. Senden Sie die CSR an Ihre externe Signaturbehörde und senden Sie sie mit einem signierten Zertifikat und einer Zertifikatskette zurück.

  3. Installieren Sie ein signiertes Zertifikat in AWS Private CA.

In den folgenden Verfahren wird beschrieben, wie Sie diese Aufgaben entweder mit dem AWS Management Console oder dem ausführen AWS CLI.

So erhalten und installieren Sie ein extern signiertes CA-Zertifikat (Konsole)

  1. (Optional) Wenn Sie sich noch nicht auf der Detailseite der Zertifizierungsstelle befinden, öffnen Sie die AWS Private CA Konsole zu https://console.aws.amazon.com/acm-pca/Hause. Wählen Sie auf der Seite Private Zertifizierungsstellen eine untergeordnete Zertifizierungsstelle mit dem Status Ausstehendes Zertifikat, Aktiv, Deaktiviert oder Abgelaufen aus.

  2. Wählen Sie „Aktionen“, „CA-Zertifikat installieren“, um die Seite „Zertifikat der untergeordneten Zertifizierungsstelle installieren“ zu öffnen.

  3. Wählen Sie auf der Seite Zertifikat der untergeordneten Zertifizierungsstelle installieren unter Typ der Zertifizierungsstelle auswählen die Option Externe private Zertifizierungsstelle aus.

  4. Unter CSR für diese Zertifizierungsstelle zeigt die Konsole den Base64-codierten ASCII-Text der CSR an. Sie können den Text mit der Schaltfläche Kopieren kopieren oder CSR in eine Datei exportieren und lokal speichern wählen.

    Anmerkung

    Das genaue Format des CSR-Textes muss beim Kopieren und Einfügen beibehalten werden.

  5. Wenn Sie die Offline-Schritte zum Abrufen eines signierten Zertifikats von Ihrer externen Signaturstelle nicht sofort ausführen können, können Sie die Seite schließen und zu ihr zurückkehren, sobald Sie über ein signiertes Zertifikat und eine Zertifikatskette verfügen.

    Andernfalls, wenn Sie bereit sind, führen Sie einen der folgenden Schritte aus:

    • Fügen Sie den Base64-codierten ASCII-Text Ihrer Zertifizierungsstelle und Ihrer Zertifikatskette in die entsprechenden Textfelder ein.

    • Wählen Sie Hochladen, um den Zertifikatshauptteil und die Zertifikatskette aus lokalen Dateien in die entsprechenden Textfelder zu laden.

  6. Wählen Sie Bestätigen und installieren.

Um ein extern signiertes CA-Zertifikat (CLI) zu erhalten und zu installieren

  1. Verwenden Sie den get-certificate-authority-csrBefehl, um die Certificate Signing Request (CSR) für Ihre private CA abzurufen. Wenn Sie die Zertifikatsignierungsanforderung an Ihre Anzeige senden möchten, verwenden Sie die --output text-Option, um CR-/LF-Zeichen vom Ende jeder Zeile zu entfernen. Um die Zertifikatsignierungsanforderung an eine Datei zu senden, verwenden Sie die Umleitungsoption (>) gefolgt von einem Dateinamen. 

    $ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--output text

    Nachdem Sie eine CSR als lokale Datei gespeichert haben, können Sie sie mit dem folgenden OpenSSL-Befehl überprüfen: 

    openssl req -in path_to_CSR_file -text -noout

    Dieser Befehl generiert eine Ausgabe ähnlich der Folgenden. Beachten Sie, dass die CA-Erweiterung TRUE ist, was anzeigt, dass die CSR für ein CA-Zertifikat gilt. 

    Certificate Request:
Data:
Version: 0 (0x0)
Subject: O=ExampleCompany, OU=Corporate Office, CN=Example CA 1
Subject Public Key Info:
    Public Key Algorithm: rsaEncryption
        Public-Key: (2048 bit)
        Modulus:
            00:d4:23:51:b3:dd:01:09:01:0b:4c:59:e4:ea:81:
            1d:7f:48:36:ef:2a:e9:45:82:ec:95:1d:c6:d7:c9:
            7f:19:06:73:c5:cd:63:43:14:eb:c8:03:82:f8:7b:
            c7:89:e6:8d:03:eb:b6:76:58:70:f2:cb:c3:4c:67:
            ea:50:fd:b9:17:84:b8:60:2c:64:9d:2e:d5:7d:da:
            46:56:38:34:a9:0d:57:77:85:f1:6f:b8:ce:73:eb:
            f7:62:a7:8e:e6:35:f5:df:0c:f7:3b:f5:7f:bd:f4:
            38:0b:95:50:2c:be:7d:bf:d9:ad:91:c3:81:29:23:
            b2:5e:a6:83:79:53:f3:06:12:20:7e:a8:fa:18:d6:
            a8:f3:a3:89:a5:a3:6a:76:da:d0:97:e5:13:bc:84:
            a6:5c:d6:54:1a:f0:80:16:dd:4e:79:7b:ff:6d:39:
            b5:67:56:cb:02:6b:14:c3:17:06:0e:7d:fb:d2:7e:
            1c:b8:7d:1d:83:13:59:b2:76:75:5e:d1:e3:23:6d:
            8a:5e:f5:85:ca:d7:e9:a3:f1:9b:42:9f:ed:8a:3c:
            14:4d:1f:fc:95:2b:51:6c:de:8f:ee:02:8c:0c:b6:
            3e:2d:68:e5:f8:86:3f:4f:52:ec:a6:f0:01:c4:7d:
            68:f3:09:ae:b9:97:d6:fc:e4:de:58:58:37:09:9a:
            f6:27
        Exponent: 65537 (0x10001)
Attributes:
Requested Extensions:
    X509v3 Basic Constraints:
        CA:TRUE
Signature Algorithm: sha256WithRSAEncryption
 c5:64:0e:6c:cf:11:03:0b:b7:b8:9e:48:e1:04:45:a0:7f:cc:
 a7:fd:e9:4d:c9:00:26:c5:6e:d0:7e:69:7a:fb:17:1f:f3:5d:
 ac:f3:65:0a:96:5a:47:3c:c1:ee:45:84:46:e3:e6:05:73:0c:
 ce:c9:a0:5e:af:55:bb:89:46:21:92:7b:10:96:92:1b:e6:75:
 de:02:13:2d:98:72:47:bd:b1:13:1a:3d:bb:71:ae:62:86:1a:
 ee:ae:4e:f4:29:2e:d6:fc:70:06:ac:ca:cf:bb:ee:63:68:14:
 8e:b2:8f:e3:8d:e8:8f:e0:33:74:d6:cf:e2:e9:41:ad:b6:47:
 f8:2e:7d:0a:82:af:c6:d8:53:c2:88:a0:32:05:09:e0:04:8f:
 79:1c:ac:0d:d4:77:8e:a6:b2:5f:07:f8:1b:e3:98:d4:12:3d:
 28:32:82:b5:50:92:a4:b2:4c:28:fc:d2:73:75:75:ff:10:33:
 2c:c0:67:4b:de:fd:e6:69:1c:a8:bb:e8:31:93:07:35:69:b7:
 d6:53:37:53:d5:07:dd:54:35:74:50:50:f9:99:7d:38:b7:b6:
 7f:bd:6c:b8:e4:2a:38:e5:04:00:a8:a3:d9:e5:06:38:e0:38:
 4c:ca:a9:3c:37:6d:ba:58:38:11:9c:30:08:93:a5:62:00:18:
 d1:83:66:40

  2. Senden Sie die CSR an Ihre externe Signaturstelle und rufen Sie Dateien ab, die das Base64-PEM-codierte signierte Zertifikat und die Zertifikatskette enthalten.

  3. Verwenden Sie den import-certificate-authority-certificateBefehl, um die private CA-Zertifikatsdatei und die Kettendatei in zu importieren. AWS Private CA

    $ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:region:account:\
certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate file://C:\example_ca_cert.pem \
--certificate-chain file://C:\example_ca_cert_chain.pem