Richten Sie ein CRL für ein AWS Private CA - AWS Private Certificate Authority

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie ein CRL für ein AWS Private CA

Bevor Sie im Rahmen der Erstellung einer Zertifizierungsstelle eine Zertifikatssperrliste (CRL) konfigurieren können, müssen Sie möglicherweise vorher einige Einstellungen vornehmen. In diesem Abschnitt werden die Voraussetzungen und Optionen erläutert, mit denen Sie vertraut sein sollten, bevor Sie eine Zertifizierungsstelle mit CRL angehängtem Zertifikat erstellen.

Informationen zur Verwendung des Online Certificate Status Protocol (OCSP) als Alternative oder Ergänzung zu einer CRL finden Sie unter Certificate revocation options undAnpassen OCSP URL für AWS Private CA.

CRLStruktur

Jede CRL ist eine DER kodierte Datei. Verwenden Sie einen Befehl, der dem folgenden ähnelt, SSL um die Datei herunterzuladen und mit Öffnen anzuzeigen:

openssl crl -inform DER -in path-to-crl-file -text -noout

CRLshaben das folgende Format:

Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: sha256WithRSAEncryption Issuer: /C=US/ST=WA/L=Seattle/O=Example Company CA/OU=Corporate/CN=www.example.com Last Update: Feb 26 19:28:25 2018 GMT Next Update: Feb 26 20:28:25 2019 GMT CRL extensions: X509v3 Authority Key Identifier: keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65 X509v3 CRL Number: 1519676905984 Revoked Certificates: Serial Number: E8CBD2BEDB122329F97706BCFEC990F8 Revocation Date: Feb 26 20:00:36 2018 GMT CRL entry extensions: X509v3 CRL Reason Code: Key Compromise Serial Number: F7D7A3FD88B82C6776483467BBF0B38C Revocation Date: Jan 30 21:21:31 2018 GMT CRL entry extensions: X509v3 CRL Reason Code: Key Compromise Signature Algorithm: sha256WithRSAEncryption 82:9a:40:76:86:a5:f5:4e:1e:43:e2:ea:83:ac:89:07:49:bf: c2:fd:45:7d:15:d0:76:fe:64:ce:7b:3d:bb:4c:a0:6c:4b:4f: 9e:1d:27:f8:69:5e:d1:93:5b:95:da:78:50:6d:a8:59:bb:6f: 49:9b:04:fa:38:f2:fc:4c:0d:97:ac:02:51:26:7d:3e:fe:a6: c6:83:34:b4:84:0b:5d:b1:c4:25:2f:66:0a:2e:30:f6:52:88: e8:d2:05:78:84:09:01:e8:9d:c2:9e:b5:83:bd:8a:3a:e4:94: 62:ed:92:e0:be:ea:d2:59:5b:c7:c3:61:35:dc:a9:98:9d:80: 1c:2a:f7:23:9b:fe:ad:6f:16:7e:22:09:9a:79:8f:44:69:89: 2a:78:ae:92:a4:32:46:8d:76:ee:68:25:63:5c:bd:41:a5:5a: 57:18:d7:71:35:85:5c:cd:20:28:c6:d5:59:88:47:c9:36:44: 53:55:28:4d:6b:f8:6a:00:eb:b4:62:de:15:56:c8:9c:45:d7: 83:83:07:21:84:b4:eb:0b:23:f2:61:dd:95:03:02:df:0d:0f: 97:32:e0:9d:38:de:7c:15:e4:36:66:7a:18:da:ce:a3:34:94: 58:a6:5d:5c:04:90:35:f1:8b:55:a9:3c:dd:72:a2:d7:5f:73: 5a:2c:88:85
Anmerkung

CRLSie werden erst in Amazon S3 hinterlegt, nachdem ein Zertifikat ausgestellt wurde, das sich darauf bezieht. Zuvor war nur eine acm-pca-permission-test-key Datei im Amazon S3 S3-Bucket sichtbar.

Zugriffsrichtlinien für CRLs in Amazon S3

Wenn Sie einen erstellen möchtenCRL, müssen Sie einen Amazon S3 S3-Bucket vorbereiten, in dem Sie ihn speichern können. AWS Private CA hinterlegt den automatisch CRL in dem von Ihnen Amazon S3 S3-Bucket und aktualisiert ihn regelmäßig. Weitere Informationen finden Sie unter Bucket erstellen.

Ihr S3-Bucket muss durch eine beigefügte IAM Berechtigungsrichtlinie gesichert sein. Autorisierte Benutzer und Dienstprinzipale benötigen die Put Erlaubnis, Objekte im Bucket platzieren AWS Private CA zu dürfen, und die Get Erlaubnis, sie abzurufen. Während des Konsolenvorgangs zum Erstellen einer CA können Sie festlegen, dass ein neuer Bucket AWS Private CA erstellt und eine Standardberechtigungsrichtlinie angewendet wird.

Anmerkung

Die IAM Richtlinienkonfiguration hängt von den AWS-Regionen beteiligten Personen ab. Regionen lassen sich in zwei Kategorien einteilen:

  • Standardmäßig aktivierte Regionen — Regionen, die standardmäßig für alle aktiviert sind. AWS-Konten

  • Standardmäßig deaktivierte Regionen — Regionen, die standardmäßig deaktiviert sind, aber vom Kunden manuell aktiviert werden können.

Weitere Informationen und eine Liste der standardmäßig deaktivierten Regionen finden Sie unter Verwalten. AWS-Regionen Eine Erläuterung von Service Principals im Kontext von finden Sie unter AWS Service Principals in IAM Opt-in-Regionen.

Bei der Konfiguration CRLs als Methode zum Widerruf von Zertifikaten AWS Private CA wird eine erstellt CRL und in einem S3-Bucket veröffentlicht. Für den S3-Bucket ist eine IAM Richtlinie erforderlich, die es dem AWS Private CA Dienstprinzipal ermöglicht, in den Bucket zu schreiben. Der Name des Service Principal variiert je nach den verwendeten Regionen, und nicht alle Möglichkeiten werden unterstützt.

PCA S3 Dienstauftraggeber

Beide in derselben Region

acm-pca.amazonaws.com

Aktiviert

Enabled

acm-pca.amazonaws.com

Disabled Aktiviert

acm-pca.Region.amazonaws.com

Enabled Disabled

Nicht unterstützt

Die Standardrichtlinie gilt SourceArn nicht für die CA. Wir empfehlen Ihnen, eine weniger freizügige Richtlinie wie die folgende anzuwenden, die den Zugriff sowohl auf ein bestimmtes AWS Konto als auch auf eine bestimmte private Zertifizierungsstelle beschränkt. Alternativ können Sie den Bedingungsschlüssel aws: SourceOrg ID verwenden, um den Zugriff auf eine bestimmte Organisation in einzuschränken. AWS Organizations Weitere Informationen zu Bucket-Richtlinien finden Sie unter Bucket-Richtlinien für Amazon Simple Storage Service.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "s3:PutObject", "s3:PutObjectAcl", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource":[ "arn:aws:s3:::amzn-s3-demo-bucket/*", "arn:aws:s3:::amzn-s3-demo-bucket1" ], "Condition":{ "StringEquals":{ "aws:SourceAccount":"111122223333", "aws:SourceArn":"arn:partition:acm-pca:region:111122223333:certificate-authority/CA_ID" } } } ] }

Wenn Sie sich dafür entscheiden, die Standardrichtlinie zuzulassen, können Sie sie später jederzeit ändern.

Aktivieren Sie S3 Block Public Access (BPA) mit CloudFront

Neue Amazon S3 S3-Buckets werden standardmäßig mit aktivierter Funktion Block Public Access (BPA) konfiguriert. Zu den bewährten Sicherheitsmethoden von Amazon S3 BPA gehört eine Reihe von Zugriffskontrollen, mit denen Kunden den Zugriff auf Objekte in ihren S3-Buckets und auf die Buckets insgesamt optimieren können. Wenn aktiv und korrekt konfiguriert BPA ist, haben nur autorisierte und authentifizierte AWS Benutzer Zugriff auf einen Bucket und seinen Inhalt.

AWS empfiehlt die Verwendung von BPA auf allen S3-Buckets, um zu verhindern, dass vertrauliche Informationen potenziellen Gegnern zugänglich gemacht werden. Zusätzliche Planung ist jedoch erforderlich, wenn Ihre PKI Kunden Daten CRLs über das öffentliche Internet abrufen (d. h., wenn sie nicht bei einem AWS Konto angemeldet sind). In diesem Abschnitt wird beschrieben, wie Sie mithilfe von Amazon CloudFront, einem Content Delivery Network (CDN), eine private PKI Lösung für die Bereitstellung konfigurieren, CRLs ohne dass ein authentifizierter Client-Zugriff auf einen S3-Bucket erforderlich ist.

Anmerkung

Bei der CloudFront Nutzung fallen zusätzliche Kosten für Ihr AWS Konto an. Weitere Informationen finden Sie unter CloudFront Amazon-Preise.

Wenn Sie sich dafür entscheiden, Ihre Daten CRL in einem S3-Bucket mit BPA aktivierter Option zu speichern, und Sie diese nicht verwenden CloudFront, müssen Sie eine andere CDN Lösung entwickeln, um sicherzustellen, dass Ihr PKI Kunde Zugriff auf Ihre hatCRL.

Richten Sie ein CloudFront für BPA

Erstellen Sie eine CloudFront Distribution, die Zugriff auf Ihren privaten S3-Bucket hat und nicht authentifizierte CRLs Clients bedienen kann.

Um eine CloudFront Distribution für die zu konfigurieren CRL
  1. Erstellen Sie eine neue CloudFront Distribution, indem Sie das Verfahren unter Creating a Distribution im Amazon CloudFront Developer Guide verwenden.

    Wenden Sie beim Abschluss des Verfahrens die folgenden Einstellungen an:

    • Wählen Sie unter Origin Domain Name Ihren S3-Bucket aus.

    • Wählen Sie „Ja“ für „Bucket-Zugriff einschränken“.

    • Wähle „Neue Identität erstellen“ für Origin Access Identity aus.

    • Wähle Ja, Bucket-Richtlinie aktualisieren unter Leseberechtigungen für Bucket gewähren aus.

      Anmerkung

      In diesem Verfahren wird Ihre Bucket-Richtlinie so CloudFront geändert, dass sie auf Bucket-Objekte zugreifen kann. Erwägen Sie, diese Richtlinie so zu bearbeiten, dass nur auf Objekte im crl Ordner zugegriffen werden kann.

  2. Suchen Sie nach der Initialisierung der Distribution ihren Domänennamen in der CloudFront Konsole und speichern Sie ihn für den nächsten Vorgang.

    Anmerkung

    Wenn Ihr S3-Bucket in einer anderen Region als us-east-1 neu erstellt wurde, erhalten Sie möglicherweise einen temporären Umleitungsfehler HTTP 307, wenn Sie über auf Ihre veröffentlichte Anwendung zugreifen. CloudFront Es kann mehrere Stunden dauern, bis die Adresse des Buckets weitergegeben wird.

Richten Sie Ihre CA ein für BPA

Fügen Sie bei der Konfiguration Ihrer neuen CA den Alias Ihrer CloudFront Distribution hinzu.

Um Ihre CA mit einem CNAME for zu konfigurieren CloudFront
  • Erstellen Sie Ihre CA mitErstellen Sie eine private CA in AWS Private CA.

    Wenn Sie das Verfahren ausführen, revoke_config.txt sollte die Sperrdatei die folgenden Zeilen enthalten, um ein nicht öffentliches CRL Objekt anzugeben und dem Verteilungsendpunkt einen Link URL zur Verfügung zu stellen in CloudFront:

    "S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL", "CustomCname":"abcdef012345.cloudfront.net"

    Wenn Sie anschließend Zertifikate mit dieser Zertifizierungsstelle ausstellen, enthalten sie einen Block wie den folgenden:

    X509v3 CRL Distribution Points: Full Name: URI:http://abcdef012345.cloudfront.net/crl/01234567-89ab-cdef-0123-456789abcdef.crl
Anmerkung

Wenn Sie über ältere Zertifikate verfügen, die von dieser Zertifizierungsstelle ausgestellt wurden, können diese nicht auf die CRL zugreifen.

Ermitteln des CRL Verteilungspunkts (CDP) URI

Wenn Sie den S3-Bucket CDP für Ihre CA verwenden, CDP URI kann er in einem der folgenden Formate vorliegen.

  • http://amzn-s3-demo-bucket.s3.region-code.amazonaws.com/crl/CA-ID.crl

  • http://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/crl/CA-ID.crl

Wenn Sie Ihre CA mit einer benutzerdefinierten CNAME Konfiguration konfiguriert habenCNAME, beinhaltet CDP URI diese beispielsweise http://alternative.example.com/crl/CA-ID.crl