Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine private CA in AWS Private CA

Sie können die Verfahren in diesem Abschnitt verwenden, um entweder eine Stamm CAs - oder eine untergeordnete CAs Struktur zu erstellen. Das Ergebnis ist eine überprüfbare Hierarchie von Vertrauensbeziehungen, die Ihren organisatorischen Anforderungen entspricht. Sie können eine Zertifizierungsstelle erstellen, indem Sie den AWS Management Console, den PCA Teil von oder verwenden. AWS CLI AWS CloudFormation

Informationen zum Aktualisieren der Konfiguration einer Zertifizierungsstelle, die Sie bereits erstellt haben, finden Sie unterAktualisieren Sie eine private Zertifizierungsstelle in AWS Private Certificate Authority.

Informationen zur Verwendung einer Zertifizierungsstelle zum Signieren von Endentitätszertifikaten für Ihre Benutzer, Geräte und Anwendungen finden Sie unterStellen Sie private Endentitätszertifikate aus.

Console

So erstellen Sie eine private CA über die -Konsole

1. Gehen Sie wie folgt vor, um eine private Zertifizierungsstelle mit dem zu erstellen AWS Management Console.

   Um mit der Verwendung der Konsole zu beginnen

   Melden Sie sich bei Ihrem AWS Konto an und öffnen Sie die AWS Private CA Konsole unterhttps://console.aws.amazon.com/acm-pca/home.

   • Wenn du die Konsole in einer Region öffnest, in der du kein Privatkonto hastCAs, wird die Einführungsseite angezeigt. Wählen Sie Private CA erstellen aus.

   • Wenn Sie die Konsole in einer Region öffnen, in der Sie bereits eine Zertifizierungsstelle erstellt haben, wird die Seite Private Zertifizierungsstellen mit einer Liste Ihrer Zertifizierungsstellen geöffnetCAs. Wählen Sie Create CA aus.

2. Wählen Sie unter Modusoptionen den Ablaufmodus der Zertifikate aus, die Ihre CA ausstellt.

   • Allgemein — Stellt Zertifikate aus, die mit einem beliebigen Ablaufdatum konfiguriert werden können. Dies ist die Standardeinstellung.

   • Kurzlebiges Zertifikat — Stellt Zertifikate mit einer maximalen Gültigkeitsdauer von sieben Tagen aus. Eine kurze Gültigkeitsdauer kann in einigen Fällen einen Sperrmechanismus ersetzen.

3. Wählen Sie im Abschnitt Typoptionen der Konsole den Typ der privaten Zertifizierungsstelle aus, die Sie erstellen möchten.

   • Wenn Sie Root wählen, wird eine neue CA-Hierarchie eingerichtet. Diese CA wird durch ein selbstsigniertes Zertifikat gesichert. Sie dient als ultimative Signaturautorität für andere Zertifikate CAs und Endentitätszertifikate in der Hierarchie.

   • Wenn Sie Untergeordnet wählen, wird eine Zertifizierungsstelle erstellt, die von einer übergeordneten Zertifizierungsstelle signiert werden muss, die ihr in der Hierarchie übergeordnet ist. Untergeordnete Entitäten CAs werden in der Regel verwendet, um weitere untergeordnete Entitätszertifikate zu erstellen CAs oder Endentitätszertifikate für Benutzer, Computer und Anwendungen auszustellen.

     Anmerkung

     AWS Private CA bietet einen automatisierten Signaturprozess, wenn die übergeordnete Zertifizierungsstelle Ihrer untergeordneten Zertifizierungsstelle ebenfalls von gehostet wird. AWS Private CA Sie müssen lediglich die zu verwendende übergeordnete Zertifizierungsstelle auswählen.

     Ihre untergeordnete Zertifizierungsstelle muss möglicherweise von einem externen Vertrauensdienstanbieter signiert werden. Falls ja, AWS Private CA stellt er Ihnen eine Zertifikatsignieranforderung (CSR) zur Verfügung, die Sie herunterladen und verwenden müssen, um ein signiertes CA-Zertifikat zu erhalten. Weitere Informationen finden Sie unter Installieren Sie ein Zertifikat einer untergeordneten Zertifizierungsstelle, das von einer externen übergeordneten Zertifizierungsstelle signiert wurde.

4. Konfigurieren Sie unter Optionen für den definierten Betreffnamen den Betreffnamen Ihrer privaten Zertifizierungsstelle. Sie müssen einen Wert für mindestens eine der folgenden Optionen eingeben:

   • Organisation (O) — Zum Beispiel ein Firmenname

   • Organisationseinheit (OU) — Zum Beispiel eine Abteilung innerhalb eines Unternehmens

   • Ländername (C) — Ein aus zwei Buchstaben bestehender Ländercode

   • Name des Bundesstaates oder der Provinz — Vollständiger Name eines Bundesstaates oder einer Provinz

   • Ortsname — Der Name einer Stadt

   • Allgemeiner Name (CN) — Eine für Menschen lesbare Zeichenfolge zur Identifizierung der CA.

   Anmerkung

   Sie können den Betreffnamen eines Zertifikats weiter anpassen, indem Sie bei der Ausstellung eine APIPassthrough Vorlage verwenden. Weitere Informationen und ein ausführliches Beispiel finden Sie unterStellen Sie mithilfe einer APIPassthrough Vorlage ein Zertifikat mit einem benutzerdefinierten Betreffnamen aus.

   Da das Hintergrundzertifikat selbst signiert ist, sind die Betreffinformationen, die Sie für eine private Zertifizierungsstelle angeben, wahrscheinlich spärlicher als die Informationen, die eine öffentliche Zertifizierungsstelle enthalten würde. Weitere Informationen zu den einzelnen Werten, aus denen sich ein definierter Name für den Betreffenden zusammensetzt, finden Sie unter RFC 5280.

5. Wählen Sie unter Optionen für den Schlüsselalgorithmus den Schlüsselalgorithmus und die Bitgröße des Schlüssels aus. Der Standardwert ist ein RSA Algorithmus mit einer Schlüssellänge von 2048 Bit. Sie können aus den folgenden Algorithmen wählen:

   • RSA2048

   • RSA4096

   • ECDSAP 256

   • ECDSAP384

6. Unter Zertifikatssperroptionen können Sie zwischen zwei Methoden wählen, um den Sperrstatus mit Clients zu teilen, die Ihre Zertifikate verwenden:

   • Aktivieren Sie die CRL Verteilung

   • Einschalten OCSP

   Sie können eine, keine oder beide dieser Sperroptionen für Ihre CA konfigurieren. Der verwaltete Widerruf ist zwar optional, wird aber als bewährte Methode empfohlen. Bevor Sie diesen Schritt abschließen, finden Sie unter Planen Sie Ihre Methode zum Widerruf von AWS Private CA Zertifikaten Informationen zu den Vorteilen der einzelnen Methoden, zur eventuell erforderlichen vorläufigen Einrichtung und zu zusätzlichen Sperrfunktionen.

   Anmerkung

   Wenn Sie Ihre Zertifizierungsstelle erstellen, ohne den Widerruf zu konfigurieren, können Sie sie jederzeit später konfigurieren. Weitere Informationen finden Sie unter Aktualisieren Sie eine private Zertifizierungsstelle in AWS Private Certificate Authority.

   Gehen Sie wie folgt vor, um die Optionen für den Widerruf von Zertifikaten zu konfigurieren.

   1. Wählen Sie unter Optionen zum Widerruf von Zertifikaten die Option CRLVerteilung aktivieren aus.

   2. Um einen Amazon S3 S3-Bucket für Ihre CRL Einträge zu erstellen, wählen Sie Create a new S3-Bucket und geben Sie einen eindeutigen Bucket-Namen ein. (Sie müssen den Pfad zum Bucket nicht einschließen.) Andernfalls wählen Sie unter S3-Bucket URI einen vorhandenen Bucket aus der Liste aus.

      Wenn Sie über die Konsole einen neuen Bucket erstellen, wird AWS Private CA versucht, die erforderliche Zugriffsrichtlinie an den Bucket anzuhängen und die S3-Standardeinstellung Block Public Access (BPA) für diesen Bucket zu deaktivieren. Wenn Sie stattdessen einen vorhandenen Bucket angeben, müssen Sie sicherstellen, dass dieser für das Konto und den Bucket deaktiviert BPA ist. Andernfalls schlägt der Vorgang zum Erstellen der Zertifizierungsstelle fehl. Wenn die Zertifizierungsstelle erfolgreich erstellt wurde, müssen Sie ihr dennoch manuell eine Richtlinie hinzufügen, bevor Sie mit der Generierung beginnen könnenCRLs. Verwenden Sie eines der unter beschriebenen RichtlinienmusterZugriffsrichtlinien für CRLs in Amazon S3 . Weitere Informationen finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole.

      Wichtig

      Ein Versuch, mithilfe der AWS Private CA Konsole eine CA zu erstellen, schlägt fehl, wenn alle der folgenden Bedingungen zutreffen:

      • Sie richten eine einCRL.

      • Sie bitten AWS Private CA darum, automatisch einen S3-Bucket zu erstellen.

      • Sie setzen BPA Einstellungen in S3 durch.

      In diesem Fall erstellt die Konsole einen Bucket, versucht aber nicht, ihn öffentlich zugänglich zu machen, was jedoch nicht der Fall ist. Überprüfen Sie in diesem Fall Ihre Amazon S3 S3-Einstellungen, deaktivieren Sie BPA sie nach Bedarf und wiederholen Sie dann den Vorgang zum Erstellen einer CA. Weitere Informationen finden Sie unter Sperren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher.

   3. Erweitern Sie die CRLEinstellungen für zusätzliche Konfigurationsoptionen.

      • Fügen Sie einen benutzerdefinierten CRL Namen hinzu, um einen Alias für Ihren Amazon S3 S3-Bucket zu erstellen. Dieser Name ist in Zertifikaten enthalten, die von der CA in der durch RFC 5280 definierten Erweiterung „CRLDistribution Points“ ausgestellt wurden.

      • Geben Sie die Gültigkeitsdauer in Tagen ein, in der Sie gültig bleiben CRL werden. Der Standardwert lautet 7 Tage. Im CRLs Online-Bereich ist eine Gültigkeitsdauer von 2-7 Tagen üblich. AWS Private CA versucht, den CRL in der Mitte des angegebenen Zeitraums zu regenerieren.

   4. Erweitern Sie die S3-Einstellungen für die optionale Konfiguration von Bucket-Versionierung und Bucket-Zugriffsprotokollierung.

7. Wählen Sie für Optionen zum Widerruf von Zertifikaten die Option OCSPEinschalten aus.

   1. Im Feld Benutzerdefinierter OCSP Endpunkt — optional können Sie einen vollqualifizierten Domainnamen (FQDN) für einen OCSP Nicht-Amazon-Endpunkt angeben.

      Wenn Sie FQDN in diesem Feld eine angeben, AWS Private CA fügt sie die Erweiterung für den FQDN Zugriff auf behördliche Informationen für jedes ausgestellte Zertifikat anstelle der Standarderweiterung URL für den AWS OCSP Responder ein. Wenn ein Endpunkt ein Zertifikat erhält, das das benutzerdefinierte Zertifikat enthältFQDN, fragt er diese Adresse ab, um eine OCSP Antwort zu erhalten. Damit dieser Mechanismus funktioniert, müssen Sie zwei zusätzliche Maßnahmen ergreifen:

      • Verwenden Sie einen Proxyserver, um den Datenverkehr, der bei Ihrem Custom eingehtFQDN, an den AWS OCSP Responder weiterzuleiten.

      • Fügen Sie Ihrer DNS Datenbank einen entsprechenden CNAME Datensatz hinzu.

      Tipp

      Weitere Hinweise zur Implementierung einer OCSP Komplettlösung mithilfe einer benutzerdefinierten CNAME Lösung finden Sie unterAnpassen OCSP URL für AWS Private CA.

      Hier ist zum Beispiel ein CNAME Datensatz für angepasst, OCSP wie er in Amazon Route 53 erscheinen würde.

      Datensatzname	Typ	Routing-Richtlinie	Unterscheidungsmerkmal	Bewerten/Weiterleiten des Datenverkehrs an
      alternative.example.com	CNAME	Einfach	-	proxy.example.com

      Anmerkung

      Der Wert von CNAME darf kein Protokollpräfix wie „http://“ oder „https://“ enthalten.

8. Unter Tags hinzufügen können Sie optional Ihre CA taggen. Tags sind Schlüssel-Wert-Paare, die als Metadaten zum Identifizieren und Organisieren von AWS -Ressourcen dienen. Eine Liste der AWS Private CA Tag-Parameter und Anweisungen zum Hinzufügen von Tags CAs nach der Erstellung finden Sie unterFügen Sie Tags für Ihre private CA hinzu.

   Anmerkung

   Um während des Erstellungsvorgangs Tags an eine private Zertifizierungsstelle anzuhängen, muss ein CA-Administrator der CreateCertificateAuthority Aktion zunächst eine IAM Inline-Richtlinie zuordnen und das Tagging explizit zulassen. Weitere Informationen finden Sie unter Tag-on-create: Hinzufügen von Tags an eine CA zum Zeitpunkt der Erstellung.

9. Unter den Zertifizierungsoptionen können Sie optional automatische Verlängerungsberechtigungen an den AWS Certificate Manager Service Principal delegieren. ACMkann private Endentitätszertifikate, die von dieser CA generiert wurden, nur dann automatisch erneuern, wenn diese Berechtigung erteilt wird. Mit dem Befehl AWS Private CA CreatePermissionAPIoder CLIcreate-permission können Sie jederzeit Verlängerungsberechtigungen zuweisen.

   Standardmäßig werden diese Berechtigungen aktiviert.

   Anmerkung

   AWS Certificate Manager unterstützt die automatische Verlängerung von kurzlebigen Zertifikaten nicht.

10. Bestätigen Sie unter Preisgestaltung, dass Sie die Preisgestaltung für eine private Zertifizierungsstelle verstanden haben.

    Anmerkung

    Die neuesten AWS Private CA Preisinformationen finden Sie unter AWS Private Certificate Authority Preisgestaltung. Sie können auch den AWS Preisrechner verwenden, um die Kosten zu schätzen.

11. Wählen Sie Create CA, nachdem Sie alle eingegebenen Informationen auf Richtigkeit überprüft haben. Die Detailseite für die Zertifizierungsstelle wird geöffnet und ihr Status wird als Ausstehendes Zertifikat angezeigt.

    Anmerkung

    Wenn Sie sich auf der Detailseite befinden, können Sie die Konfiguration Ihrer Zertifizierungsstelle abschließen, indem Sie Aktionen, CA-Zertifikat installieren wählen. Sie können auch später zur Liste der privaten Zertifizierungsstellen zurückkehren und den Installationsvorgang abschließen, der für Ihren Fall gilt:

    • Installieren Sie ein Root-CA-Zertifikat

    • Installieren Sie ein untergeordnetes CA-Zertifikat, das von gehostet wird AWS Private CA

    • Installieren Sie ein Zertifikat einer untergeordneten Zertifizierungsstelle, das von einer externen übergeordneten Zertifizierungsstelle signiert wurde

CLI

Verwenden Sie den create-certificate-authorityBefehl, um eine private Zertifizierungsstelle zu erstellen. Sie müssen die CA-Konfiguration (mit Informationen zum Algorithmus und zum Betreffnamen), die Sperrkonfiguration (falls Sie OCSP und/oder a verwenden möchtenCRL) und den Typ der Zertifizierungsstelle (Root oder untergeordnete Zertifizierungsstelle) angeben. Die Konfiguration und die Sperrkonfiguration sind in zwei Dateien enthalten, die Sie als Argumente für den Befehl angeben. Optional können Sie auch den CA-Nutzungsmodus (für die Ausstellung von Standard- oder kurzlebigen Zertifikaten) konfigurieren, Tags anhängen und ein Idempotenz-Token bereitstellen.

Wenn Sie einen konfigurierenCRL, müssen Sie über einen gesicherten Amazon S3 S3-Bucket verfügen, bevor Sie den create-certificate-authority Befehl ausführen. Weitere Informationen finden Sie unter Zugriffsrichtlinien für CRLs in Amazon S3 .

Die CA-Konfigurationsdatei spezifiziert die folgenden Informationen:

• Den Namen des Algorithmus

• Die Schlüsselgröße, die beim Erstellen eines privaten Schlüssels für die CA verwendet werden soll

• Die Art des Signaturalgorithmus, den die CA zum Signieren verwendet

• X.500-Themeninformationen

Die Sperrkonfiguration für OCSP definiert ein OcspConfiguration Objekt mit den folgenden Informationen:

• Das Enabled Flag ist auf „true“ gesetzt.

• (Optional) Ein benutzerdefinierter Wert, der als Wert für CNAME deklariert wurdeOcspCustomCname.

Die Sperrkonfiguration für a CRL definiert ein CrlConfiguration Objekt mit den folgenden Informationen:

• Das Enabled Flag ist auf „true“ gesetzt.

• Die CRL Ablaufzeit in Tagen (die Gültigkeitsdauer vonCRL).

• Der Amazon S3 S3-Bucket, der die enthalten wirdCRL.

• (Optional) Ein ObjectAclS3-Wert, der bestimmt, ob der öffentlich zugänglich CRL ist. In dem hier vorgestellten Beispiel ist der öffentliche Zugriff gesperrt. Weitere Informationen finden Sie unter Aktivieren Sie S3 Block Public Access (BPA) mit CloudFront.

• (Optional) Ein CNAME Alias für den S3-Bucket, der in den von der CA ausgestellten Zertifikaten enthalten ist. Wenn der nicht öffentlich zugänglich CRL ist, deutet dies auf einen Vertriebsmechanismus wie Amazon hin CloudFront.

• (Optional) Ein CrlDistributionPointExtensionConfiguration Objekt mit den folgenden Informationen:

  • Die OmitExtension Markierung ist auf „wahr“ oder „falsch“ gesetzt. Dadurch wird gesteuert, ob der Standardwert für die CDP Erweiterung in ein von der CA ausgestelltes Zertifikat geschrieben wird. Weitere Informationen zur CDP Erweiterung finden Sie unterErmitteln des CRL Verteilungspunkts (CDP) URI . A CustomCname kann nicht gesetzt werden, wenn OmitExtension es „wahr“ ist.

Anmerkung

Sie können beide Sperrmechanismen auf derselben Zertifizierungsstelle aktivieren, indem Sie sowohl ein OcspConfiguration Objekt als auch ein CrlConfiguration Objekt definieren. Wenn Sie keinen --revocation-configuration Parameter angeben, sind beide Mechanismen standardmäßig deaktiviert. Wenn Sie später Unterstützung bei der Sperrvalidierung benötigen, finden Sie weitere Informationen unterAktualisierung einer CA (CLI).

CLIBeispiele finden Sie im folgenden Abschnitt.

CLIBeispiele für die Erstellung einer privaten CA

Bei den folgenden Beispielen wird davon ausgegangen, dass Sie Ihr .aws Konfigurationsverzeichnis mit einer gültigen Standardregion, einem Endpunkt und Anmeldeinformationen eingerichtet haben. Informationen zur Konfiguration Ihrer AWS CLI Umgebung finden Sie unter Einstellungen für Konfiguration und Anmeldeinformationsdatei. Aus Gründen der besseren Lesbarkeit stellen wir in den Beispielbefehlen die Eingabe für die Konfiguration und den Widerruf der Zertifizierungsstelle als JSON Dateien bereit. Ändern Sie die Beispieldateien nach Bedarf für Ihren Gebrauch.

Alle Beispiele verwenden die folgende ca_config.txt Konfigurationsdatei, sofern nicht anders angegeben.

Datei: ca_config.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"Sales",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"www.example.com"
   }
}

Beispiel 1: Erstellen Sie eine CA mit OCSP aktiviertem

In diesem Beispiel aktiviert die Sperrdatei die OCSP Standardunterstützung, die den AWS Private CA Responder verwendet, um den Zertifikatsstatus zu überprüfen.

Datei: revoke_config.txt für OCSP

{
   "OcspConfiguration":{
      "Enabled":true
   }
}

Befehl

$ aws acm-pca create-certificate-authority \
     --certificate-authority-configuration file://ca_config.txt \
     --revocation-configuration file://revoke_config.txt \
     --certificate-authority-type "ROOT" \
     --idempotency-token 01234567 \
     --tags Key=Name,Value=MyPCA

Bei Erfolg gibt dieser Befehl den Amazon-Ressourcennamen (ARN) der neuen CA aus.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:region:account:
       certificate-authority/CA_ID"
}

Befehl

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-2

Bei Erfolg gibt dieser Befehl den Amazon-Ressourcennamen (ARN) der CA aus.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Verwenden Sie den folgenden Befehl, um die Konfiguration Ihrer CA zu überprüfen.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Diese Beschreibung sollte den folgenden Abschnitt enthalten.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true
   }
   ...
}

Beispiel 2: Erstellen Sie eine Zertifizierungsstelle mit CNAME aktivierter OCSP und benutzerdefinierter

In diesem Beispiel ermöglicht die Sperrdatei eine benutzerdefinierte OCSP Unterstützung. Der OcspCustomCname Parameter verwendet einen vollqualifizierten Domänennamen (FQDN) als Wert.

Wenn Sie FQDN in diesem Feld einen angeben, wird anstelle der Standarderweiterung URL für FQDN den AWS OCSP Responder die Erweiterung „Authority Information Access“ jedes ausgestellten Zertifikats in die Erweiterung „Authority Information Access“ AWS Private CA eingefügt. Wenn ein Endpunkt ein Zertifikat erhält, das das benutzerdefinierte Zertifikat enthältFQDN, fragt er diese Adresse ab, um eine OCSP Antwort zu erhalten. Damit dieser Mechanismus funktioniert, müssen Sie zwei zusätzliche Maßnahmen ergreifen:

Hier ist zum Beispiel ein CNAME Datensatz für angepasst, OCSP wie er in Amazon Route 53 erscheinen würde.

Datei: revoke_config.txt für OCSP

{
   "OcspConfiguration":{
      "Enabled":true,
      "OcspCustomCname":"alternative.example.com"
   }
}

Befehl

$ aws acm-pca create-certificate-authority \
	--certificate-authority-configuration file://ca_config.txt \
	--revocation-configuration file://revoke_config.txt \
	--certificate-authority-type "ROOT" \
	--idempotency-token 01234567 \
	--tags Key=Name,Value=MyPCA-3

Bei Erfolg gibt dieser Befehl den Amazon-Ressourcennamen (ARN) der CA aus.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Verwenden Sie den folgenden Befehl, um die Konfiguration Ihrer CA zu überprüfen.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Diese Beschreibung sollte den folgenden Abschnitt enthalten.

"RevocationConfiguration": {
   ...
   "OcspConfiguration": {
      "Enabled": true,
      "OcspCustomCname": "alternative.example.com"
   }
   ...
}

Beispiel 3: Erstellen Sie eine Zertifizierungsstelle mit angehängtem CRL

In diesem Beispiel definiert die Sperrkonfiguration CRL Parameter.

Datei: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Befehl

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Bei Erfolg gibt dieser Befehl den Amazon-Ressourcennamen (ARN) der CA aus.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Verwenden Sie den folgenden Befehl, um die Konfiguration Ihrer CA zu überprüfen.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Diese Beschreibung sollte den folgenden Abschnitt enthalten.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket"
   },
   ...
}

Beispiel 4: Erstellen Sie eine CA mit einer angehängten CRL und einer CNAME aktivierten benutzerdefinierten

In diesem Beispiel definiert die Sperrkonfiguration CRL Parameter, die einen benutzerdefinierten Wert enthaltenCNAME.

Datei: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "CustomCname": "alternative.example.com",
      "S3BucketName":"amzn-s3-demo-bucket"
   }
}

Befehl

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Bei Erfolg gibt dieser Befehl den Amazon-Ressourcennamen (ARN) der CA aus.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Verwenden Sie den folgenden Befehl, um die Konfiguration Ihrer CA zu überprüfen.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Diese Beschreibung sollte den folgenden Abschnitt enthalten.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "CustomCname": "alternative.example.com",
      "S3BucketName": "amzn-s3-demo-bucket",
   ...
   }
}

Beispiel 5: Erstellen Sie eine CA und geben Sie den Nutzungsmodus an

In diesem Beispiel wird der CA-Nutzungsmodus bei der Erstellung einer CA angegeben. Falls nicht angegeben, ist der Parameter für den Verwendungsmodus standardmäßig auf GENERAL _ festgelegt. PURPOSE In diesem Beispiel ist der Parameter auf SHORT _ LIVED _ gesetztCERTIFICATE, was bedeutet, dass die CA Zertifikate mit einer maximalen Gültigkeitsdauer von sieben Tagen ausstellt. In Situationen, in denen es unpraktisch ist, den Widerruf zu konfigurieren, läuft ein kurzlebiges Zertifikat, das kompromittiert wurde, im Rahmen des normalen Betriebs schnell ab. Folglich fehlt in dieser Beispielzertifizierungsstelle ein Sperrmechanismus.

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config.txt \
	     --certificate-authority-type "ROOT" \
	     --usage-mode SHORT_LIVED_CERTIFICATE \
	     --tags Key=usageMode,Value=SHORT_LIVED_CERTIFICATE

Verwenden Sie den describe-certificate-authorityBefehl in AWS CLI , um Details zur resultierenden Zertifizierungsstelle anzuzeigen, wie im folgenden Befehl dargestellt:

$ aws acm-pca describe-certificate-authority \
	     --certificate-authority-arn arn:aws:acm:region:account:certificate-authority/CA_ID

{
	   "CertificateAuthority":{
	      "Arn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID",
	      "CreatedAt":"2022-09-30T09:53:42.769000-07:00",
	      "LastStateChangeAt":"2022-09-30T09:53:43.784000-07:00",
	      "Type":"ROOT",
	      "UsageMode":"SHORT_LIVED_CERTIFICATE",
	      "Serial":"serial_number",
	      "Status":"PENDING_CERTIFICATE",
	      "CertificateAuthorityConfiguration":{
	         "KeyAlgorithm":"RSA_2048",
	         "SigningAlgorithm":"SHA256WITHRSA",
	         "Subject":{
	            "Country":"US",
	            "Organization":"Example Corp",
	            "OrganizationalUnit":"Sales",
	            "State":"WA",
	            "Locality":"Seattle",
	            "CommonName":"www.example.com"
	         }
	      },
	      "RevocationConfiguration":{
	         "CrlConfiguration":{
	            "Enabled":false
	         },
	         "OcspConfiguration":{
	            "Enabled":false
	         }
	      },
	...

Beispiel 6: Erstellen Sie eine Zertifizierungsstelle für die Active Directory-Anmeldung

Sie können eine private Zertifizierungsstelle erstellen, die für die Verwendung im Enterprise NTAuth Store von Microsoft Active Directory (AD) geeignet ist und dort Kartenanmelde- oder Domänencontrollerzertifikate ausstellen kann. Informationen zum Importieren eines CA-Zertifikats in AD finden Sie unter So importieren Sie Zertifikate von Drittanbieter-Zertifizierungsstellen (CA) in den Enterprise Store. NTAuth

Das Microsoft-Tool certutil kann verwendet werden, um CA-Zertifikate in AD zu veröffentlichen, indem die Option aufgerufen wird. -dspublish Einem mit Certutil in AD veröffentlichten Zertifikat wird in der gesamten Gesamtstruktur vertraut. Mithilfe von Gruppenrichtlinien können Sie das Vertrauen auch auf eine Teilmenge der gesamten Gesamtstruktur beschränken, z. B. auf eine einzelne Domäne oder eine Gruppe von Computern in einer Domäne. Damit die Anmeldung funktioniert, muss die ausstellende Zertifizierungsstelle ebenfalls im NTAuth Store veröffentlicht sein. Weitere Informationen finden Sie unter Verteilen von Zertifikaten an Client-Computer mithilfe von Gruppenrichtlinien.

In diesem Beispiel wird die folgende ca_config_AD.txt Konfigurationsdatei verwendet.

Datei: ca_config_AD.txt

{
   "KeyAlgorithm":"RSA_2048",
   "SigningAlgorithm":"SHA256WITHRSA",
   "Subject":{
      "CustomAttributes":[
         {
            "ObjectIdentifier":"2.5.4.3",
            "Value":"root CA"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"example"
         },
         {
            "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
            "Value":"com"
         }
      ]
   }
}

Befehl

$ aws acm-pca create-certificate-authority \
	     --certificate-authority-configuration file://ca_config_AD.txt \
	     --certificate-authority-type "ROOT" \
	     --tags Key=application,Value=ActiveDirectory

Bei Erfolg gibt dieser Befehl den Amazon-Ressourcennamen (ARN) der CA aus.

{
	"CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
	}

Verwenden Sie den folgenden Befehl, um die Konfiguration Ihrer CA zu überprüfen.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Diese Beschreibung sollte den folgenden Abschnitt enthalten.

...

"Subject":{
   "CustomAttributes":[
      {
         "ObjectIdentifier":"2.5.4.3",
         "Value":"root CA"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"example"
      },
      {
         "ObjectIdentifier":"0.9.2342.19200300.100.1.25",
         "Value":"com"
      }
   ]
}
...

Beispiel 7: Erstellen Sie eine Themenzertifizierungsstelle mit einer angehängten CRL und CDP ohne Erweiterung in ausgestellten Zertifikaten

Sie können eine private Zertifizierungsstelle erstellen, die für die Ausstellung von Zertifikaten für den Matter Smart Home-Standard geeignet ist. In diesem Beispiel ca_config_PAA.txt definiert die CA-Konfiguration in eine Matter Product Attestation Authority (PAA) mit der Vendor-ID (VID), die auf gesetzt ist. FFF1

Datei: ca_config_ .txt PAA

{
   "KeyAlgorithm":"EC_prime256v1",
   "SigningAlgorithm":"SHA256WITHECDSA",
   "Subject":{
      "Country":"US",
      "Organization":"Example Corp",
      "OrganizationalUnit":"SmartHome",
      "State":"WA",
      "Locality":"Seattle",
      "CommonName":"Example Corp Matter PAA",
	  "CustomAttributes":[
      {
        "ObjectIdentifier":"1.3.6.1.4.1.37244.2.1",
        "Value":"FFF1"
      }
    ]
  }
}

Die Sperrkonfiguration aktiviert und konfiguriert die CA soCRLs, dass der Standard in allen ausgestellten Zertifikaten weggelassen wird. CDP URL

Datei: revoke_config.txt

{
   "CrlConfiguration":{
      "Enabled":true,
      "ExpirationInDays":7,
      "S3BucketName":"amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   }
}

Befehl

$ aws acm-pca create-certificate-authority \
      --certificate-authority-configuration file://ca_config_PAA.txt \
      --revocation-configuration file://revoke_config.txt \
      --certificate-authority-type "ROOT" \
      --idempotency-token 01234567 \
      --tags Key=Name,Value=MyPCA-1

Bei Erfolg gibt dieser Befehl den Amazon-Ressourcennamen (ARN) der CA aus.

{
    "CertificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
}

Verwenden Sie den folgenden Befehl, um die Konfiguration Ihrer CA zu überprüfen.

$ aws acm-pca describe-certificate-authority \
      --certificate-authority-arn "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" \
      --output json

Diese Beschreibung sollte den folgenden Abschnitt enthalten.

"RevocationConfiguration": {
   ...
   "CrlConfiguration": {
      "Enabled": true,
      "ExpirationInDays": 7,
      "S3BucketName": "amzn-s3-demo-bucket",
	  "CrlDistributionPointExtensionConfiguration":{
		"OmitExtension":true
	  }
   },
   ...
}
...